2024-11-04

საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება გამჭვირვალობისა და მონაცემთა მინიმიზაციის პრინციპების დარღვევის შესახებ

საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“HDPA”) საბერძნეთის მოქალაქეებისთვის ახალი ტიპის პირადობის მოწმობის შემოღებასთან დაკავშირებით გადაწყვეტილება მიიღო.[1]

საქმის ფაქტობრივი გარემოებები:

მონაცემთა სუბიექტმა საჩივრით მიმართა საზედამხედველო ორგანოს ბიომეტრიული მონაცემების შემცველი ახალი პირადობის მოწმობების საკითხის შესახებ. აღსანიშნავია, რომ განმცხადებელმა ასევე მიმართა საბერძნეთის „მოქალაქეთა დაცვის სამინისტროს“ (“Ministry of Citizen Protection”) მონაცემთა დამუშავების კანონიერების თაობაზე, თუმცა მის მიერ დასმულ კითხვებზე პასუხები მან მიიღო. აღნიშნულის საფუძველზე საზედამხედველო ორგანომ სამინისტროს მიერ ევროკავშირის „მონაცემთა დაცვის ძირითად რეგულაციასთან“ შესაბამისობის დადგენის მიზნით, საკითხის შესწავლა დაიწყო.

სამინისტრომ განმარტა, რომ ახალი პირადობის მოწმობების დანერგვასთან დაკავშირებით არაერთი ღონისძიება განხორციელდა, რომელთა შორისაა, მონაცემთა დაცვაზე ზეგავლენის შეფასება (“DPIA”), შესაბამისი რისკების იდენტიფიცირება და ბიომეტრიულ მონაცემთა დამუშავებასთან დაკავშირებული შესაბამისი გარანტიების დანერგვა.

საზედამხედველო ორგანოს გადაწყვეტილების დასაბუთება:

საქმის ფაქტობრივი გარემოებების შესწავლის შედეგად, საზედამხედველო ორგანომ დაადგინა მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-12 მუხლის დარღვევის ფაქტი, რადგან სამინისტრომ ვერ უზრუნველყო პერსონალურ მონაცემთა შეგროვების კანონიერების, მიზნისა და ფარგლების შესახებ განმცხადებლისა და საზოგადოების დროული ინფორმირება. აგრეთვე, დადგინდა, რომ სამინისტრო სრულად არ იცავდა “GDPR”-ის 5(1)(გ) მუხლით გათვალისწინებულ მონაცემთა მინიმიზაციის პრინციპს. საზედამხედველო ორგანომ ეჭქვეშ დააყენა დამუშავებული ბიომეტრიული მონაცემების მოცულობის შესაბამისობა დამუშავების მიზანთან, რასაც მოცემულ შემთხვევაში პირადობის მოწმობების გაცემა წარმოადგენდა.

ბიომეტრიული მონაცემების დამუშავებით გამოწვეული ადამიანის უფლებათა შელახვის მაღალი რისკის გამო, საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ხაზი გაუსვა მონაცემთა დაცვაზე ზეგავლენის შეფასების (“DPIA”) აუცილებლობასაც. მართალია, სამინისტრომ განახორციელა შეფასება, თუმცა მან შესაბამისი დოკუმენტით გათვალისწინებული რისკის შემცირების ღონისძიებების, ძირითად რეგულაციასთან შესაბამისობა ვერ უზრუნველყო. ამასთანავე, საზედამხედველო ორგანომ გადაწყვეტილებაში ხაზგასმით აღნიშნა ანგარიშვალდებულების პრინციპის დაცვის აუცილებლობა და სამინისტროს ვალდებულება, უზრუნველყოს მოქალაქეთა ინფორმირება მონაცემთა დამუშავების პროცესის შესახებ.

საზედამხედველო ორგანოს დასკვნები:

საბერძნეთის მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ „მოქალაქეთა დაცვის სამინისტრომ“ დაარღვია გამჭვირვალობისა და მონაცემთა მინიმიზაციას პრინციპები. კერძოდ, “GDPR”-ით გათვალისწინებული მოთხოვების შესაბამისად, სამინისტრომ ვერ უზრუნველყო დროული რეაგირება და ვერ მიაწოდა საზოგადოებას საკმარისი ინფორმაცია განსაკუთრებული კატეგორიის მონაცემთა დამუშავებასთან დაკავშირებით. ასევე, მან არ ჩაატარა მონაცემთა დაცვაზე ზეგავლენის შეფასება მონაცემთა დამუშავების დაწყებამდე, ხოლო შემდგომში, შეფასების განხორციელებისას არ იქნა იდენტიფიცირებული მონაცემთა დამუშავებასთან დაკავშირებული რისკები.

მიღებული გადაწყვეტილება:

საბერძნეთის საზედამხედველო ორგანომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-13 და მე-14 მუხლების დარღვევისთვის „მოქალაქეთა დაცვის სამინისტრო“ დააჯარიმა 50 000 ევროს ოდენობით, ხოლო 35-ე მუხლის პირველი პუნქტის დარღვევისთვის ― 100 000 ევროს ოდენობით.

[1] Greece: HDPA fines Ministry of Citizen Protection €150,000 for GDPR violations, <https://www.dataguidance.com/news/greece-hdpa-fines-ministry-citizen-protection-150000>, [02.10.2024].