ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ დარღვევის გამოსასწორებელი ზომების მიღების შესახებ

ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება (C 768/21) შეეხება ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 57(1)(a)(f)-ე (საზედამხედველო ორგანოს ფუნქციები), 58(2)-ე (საზედამხედველო ორგანოს უფლებამოსილებები) და 77(1)-ე (საზედამხედველო ორგანოში საჩივრის წარდგენის უფლება) მუხლების ინტერპრეტაციას. სასამართლოს ძირითად განსახილველ საკითხს წარმოადგენდა პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს კომპეტენცია, დარღვევის გამოსასწორებელი ზომების მიღების კონტექსტში.[1]

საქმის ფაქტობრივი გარემოებები:

ჰესენის ფედერალური მიწის კომერციული ბანკი (“Savings Bank”) არის საზოგადოებრივი ინსტიტუტი, რომლის ძირითადი ამოცანაა საბანკო და საკრედიტო ტრანზაქციების განხორციელება. 2019 წლის 15 ნოემბერს, ბანკმა “GDPR”-ის 33-ე მუხლის შესაბამისად, მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) თაობაზე ინფორმაცია წარუდგინა ჰესენის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“HBDI”)[2]. მონაცემთა უსაფრთხოების დარღვევა გამოიხატებოდა ბანკის თანამშრომლის მიერ ერთ-ერთი მომხმარებლის (“TR”) პერსონალურ მონაცემზე კანონიერი საფუძვლის გარეშე წვდომაში. აღსანიშნავია, რომ თავის მხრივ ბანკმა არ უზრუნველყო მომხმარებლის ინფორმირება მონაცემთა უსაფრთხოების დარღვევის თაობაზე.

მას შემდეგ, რაც მომხმარებელმა შეიტყო საკუთარ პერსონალურ მონაცემებზე უკანონო წვდომის შესახებ, 2020 წლის 27 ივლისს, “GDPR”-ის 77-ე მუხლის საფუძველზე, მან საჩივრით მიმართა მონაცემთა დაცვის საზედამხედველო ორგანოს, რომელმაც რეგულაციის 34-ე მუხლის („მონაცემთა სუბიექტისათვის მონაცემთა უსაფრთხოების დარღვევის შეტყობინება“) დარღვევაზე მიუთითა. ამავდროულად, მიუთითა, რომ დასაქმებულებს ჰქონდათ ამ მონაცემებზე წვდომის უფლება.

საჩივარში ფაქტების განხილვის შემდეგ, საზედამხედველო ორგანო გაეცნო დამუშავებისთვის პასუხისმგებელი პირის ― ბანკის პოზიციას, რომლის თანახმად, მონაცემთა უსაფრთხოების დარღვევის თაობაზე მომხმარებლის ინფორმირება არ იქნა უზრუნველყოფილი იმდენად, რამდენადაც მონაცემთა დაცვის ოფიცერმა მიიჩნია, რომ არ არსებობდა მაღალი რისკი მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის თვალსაზრისით. ბანკმა დისციპლინური ზომები გაატარა დასაქმებული პირის მიმართ, რომელმაც წერილობით დაადასტურა, რომ მას არასდროს გადაუღია პერსონალური მონაცემების ასლები, ასევე, არ შეუნახავს, არ გადაუცია მესამე მხარისთვის და არც სამომავლოდ გეგმავდა მსგავსი ქმედებების განხორციელებას.

პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება:

2020 წლის 3 სექტემბრის გადაწყვეტილებით, ჰესენის მონაცემთა დაცვის საზედამხედველო ორგანომ ბანკის მომხმარებელს აცნობა, რომ კომერციულმა ბანკმა არ დაარღვია ძირითადი რეგულაციის 34-ე მუხლი, რამდენადაც ბანკმა სწორად მიიჩნია, რომ მონაცემთა უსაფრთხოების დარღვევა არ გამოიწვევდა მაღალ რისკს მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის თვალსაზრისით. მიუხედავად იმისა, რომ დასაქმებულს ჰქონდა წვდომა მომხმარებლის პირად ინფორმაციაზე, არ არსებობდა რაიმე მტკიცებულება მონაცემების მესამე მხარის გადაცემისა ან სხვაგვარად გამოყენების შესახებ. აგრეთვე, საზედამხედველო ორგანომ მოსთხოვა ბანკს მონაცემებზე წვდომების შესახებ ინფორმაცია შეენახა 3 თვეზე მეტი ვადით. რაც შეეხება კომერციული ბანკის თანამშრომლის მიერ პერსონალურ მონაცემებზე წვდომას, საზედამხედველო ორგანომ არ გაიზიარა მომხმარებლის მოთხოვნა და აღნიშნა, რომ მონაცემებზე წვდომა შეიძლება დასაშვები იყოს, თუკი მომხმარებელი წვდომის პირობების შესახებ ინფორმირებულია. აღნიშნულიდან გამომდინარე, მონაცემებზე ყველა სახის წვდომის სისტემატური შეფასება და განხილვა არ არის აუცილებელი.

მომხმარებელმა საზედამხედველო ორგანოს გადაწყვეტილება გაასაჩივრა გერმანიის ადმინისტრაციულ სასამართლოში, საზედამხედველო ორგანოს მიერ კომერციული ბანკის წინააღმდეგ შესაბამისი ზომების მიღების მოთხოვნით.

გერმანიის ადმინისტრაციული სასამართლოს შეფასება:

მომხმარებელმა საკუთარი პოზიციის გასამყარებლად აღნიშნა, რომ მონაცემთა დაცვის საზედამხედველო ორგანომ მისი საჩივარი “GDPR”-ის მოთხოვნების დაცვის შესაბამისად არ განიხილა. სანქციის სახით საზედამხედველო ორგანოს კომერციული ბანკისთვის ძირითადი რეგულაციის მე-5, მე-12(3), მე-15(1)(c) და 33(1)(3)-ე მუხლების დარღვევის გამო უნდა დაეკისრებინა ჯარიმა. მომხმარებელმა განაცხადა, რომ საზედამხედველო ორგანოს არ ჰქონდა დისკრეციული უფლებამოსილება მოცემულ შემთხვევაში მიიღებდა თუ არა შესაბამის ზომებს, არამედ დისკრეცია უნდა გამოხატულიყო კონკრეტული ღონისძიების განსაზღვრაში.

ზემოაღნიშნულ არგუმენტებზე დაყრდნობით, ადმინისტრაციული სასამართლოს უნდა შეეფასებინა:

როდესაც დადგინდება ძირითადი რეგულაციის დებულებათა დარღვევა, ავალდებულებს თუ არა “GDPR”-ი საზედამხედველო ორგანოს, მიიღოს შესაბამისი, გამოსასწორებელი ზომები, მაგალითად, როგორიცაა: ჯარიმის განსაზღვრა?
გააჩნია თუ არა საზედამხედველო ორგანოს დისკრეცია, კონკრეტული გარემოებების გათვალისწინებით, თავი შეიკავოს შესაბამისი, გამოსასწორებელი ზომების მიღებისგან?

სასამართლომ პირველ საკითხთან მიმართებით, აღნიშნა, საზედამხედველო ორგანო უფლებამოსილია მონაცემთა სუბიექტის უფლების დარღვევის იდენტიფიცირების შემთხვევაში, მიიღოს გამოსასწორებელი ზომები, რომელთა მიზანია პირვანდელი მდგომარეობის აღდგენა. ამდენად, “GDPR”-ის 58(2)-ე მუხლი (საზედამხედველო ორგანოს მიერ შესაბამისი ღონისძიების გატარების უფლებამოსილება) უნდა განიმარტოს როგორც სტანდარტი, რომელიც ავალდებულებს საზედამხედველო ორგანოს, მიიღოს დარღვევის გამოსასწორებლად შესაბამისი ღონისძიება. ამდენად, როდესაც ადგილი აქვს მონაცემთა უსაფრთხოების დარღვევას, საზედამხედველო ორგანო ვალდებულია, მიიღოს შესაბამისი, გამოსასწორებელი ღონისძიებები. მისი დისკრეცია შეზღუდულია კონკრეტულ სიტუაციაში გამოსასწორებელი ზომის მოცულობის განსაზღვრის ფარგლებში.

საგულისხმოა, რომ ადმინისტრაციული სასამართლო არ იყო დარწმუნებული საკუთარი პოზიციის მართებულობაში. მაშინაც კი, როდესაც “GDPR”-ის 57(1)(f)-ე მუხლის შესაბამისად, საზედამხედველო ორგანოს გააჩნია ვალდებულება, განახორციელოს მონაცემთა სუბიექტის საჩივრის სიღრმისეული შესწავლა მას შესაძლოა, არ ევალებოდეს ყველა სიტუაციაში შესაბამისი, გამოსასწორებელი ზომების მიღება. აღნიშნულიდან გამომდინარე, ადმინისტრაციულმა სასამართლომ მიიღო გადაწყვეტილება საქმის წარმოებაში დატოვების შესახებ და მიმართა ევროკავშირის მართლმსაჯულების სასამართლოს (“CJEU”).

გერმანიის ადმინისტრაციული სასამართლოს მიერ ევროკავშირის მართლმსაჯულების სასამართლოსთვის დასმული კითხვა:

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 57(1)(a)(f)-ე, 58(2)(a)(j)-ე და 77(1)-ე მუხლები უნდა იქნეს თუ არა განმარტებული იმ მნიშვნელობით, რომ როდესაც მონაცემთა დაცვის საზედამხედველო ორგანო დაადგენს მონაცემთა სუბიექტის უფლებების დარღვევას, აუცილებელია, ყველა შემთხვევაში მიიღოს გამოსასწორებელი ზომა “GDPR”-ის 58-ე მუხლის მე-2 პუნქტის შესაბამისად.

ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება:

ევროკავშირის მართლმსაჯულების სასამართლომ აღნიშნა, რომ “GDPR”-ის 57(1)(f) მუხლის თანახმად, პერსონალურ მონაცემთა დაცვის თითოეული საზედამხედველო ორგანო ვალდებულია, საკუთარ ტერიტორიაზე განიხილოს საჩივრები რეგულაციის 77-ე მუხლის პირველი პუნქტის შესაბამისად: „თითოეული მონაცემთა სუბიექტი უფლებამოსილია, სასამართლოს ან ადმინისტრაციული ორგანოს მეშვეობით უფლებების დაცვის გარდა, საჩივრით მიმართოს საზედამხედველო ორგანოს წევრ სახელმწიფოში საკუთარი საცხოვრებელი ადგილის, სამუშაო ადგილის ან სავარაუდო დარღვევის ჩადენის ადგილის მიხედვით, თუ მონაცემთა სუბიექტი მიიჩნევს, რომ მისი მონაცემების დამუშავება ხორციელდება რეგულაციის დარღვევით.“

ამასთანავე, საზედამხედველო ორგანო, რომელსაც წარედგინა საჩივარი, ვალდებულია, აცნობოს საჩივრის წარმდგენს მისი განცხადების განხილვის მიმდინარეობისა და შედეგების შესახებ, მათ შორის, სასამართლოს მეშვეობით უფლების დაცვის/აღდგენის თაობაზე. საზედამხედველო ორგანომ საჩივარი უნდა განიხილოს სათანადო გულისხმიერებით.

სასამართლომ აღნიშნა, რომ საჩივრის განსახილველად, “GDPR”-ის 58-ე მუხლის პირველი პუნქტის შესაბამისად, საზედამხედველო ორგანოს გააჩნია მნიშვნელოვანი საგამოძიებო უფლებამოსილებები. საკითხის შესწავლის შემდეგ, თუ საზედამხედველო ორგანო დაადგენს რეგულაციის დარღვევას, მისი ვალდებულებაა, იმოქმედოს გამოვლენილ ნაკლოვანებათა გამოსწორების მიზნით. საზედამხედველო ორგანოს მიერ მიღებული ნებისმიერი ზომა უნდა იყოს შესაბამისი, აუცილებელი და პროპორციული რეგულაციასთან შესაბამისობის უზრუნველყოფის თვალსაზრისით. ამასთან, უნდა იქნას გათვალისწინებული თითოეული განსახილველი საქმის სპეციფიკა. ძირითადი რეგულაციის 58-ე მუხლის მე-2 პუნქტით გათვალისწინებულია სხვადასხვა გამოსასწორებელი ზომა, რომლის მიღების უფლებამოსილებაც გააჩნია საზედამხედველო ორგანოს.

ამდენად, “GDPR”-ის 58-ე მუხლის მე-2 პუნქტის გათვალისწინებით, საზედამხედველო ორგანოს, მათ შორის, შეუძლია: დამუშავებისთვის პასუხისმგებელი პირის მიმართ შენიშვნის გამოცხადება, როდესაც მონაცემთა დამუშავების ოპერაციები ეწინააღმდეგება ძირითად რეგულაციას; დამუშავებისთვის პასუხისმგებელ ან დამუშავებაზე უფლებამოსილ პირს მოსთხოვოს, იმოქმედონ მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, რათა უზრუნველყოფილ იქნას რეგულაციით განსაზღვრული უფლებების რეალიზება; დამუშავებისთვის პასუხისმგებელ ან დამუშავებაზე უფლებამოსილ პირს მოსთხოვოს დამუშავების პროცესის რეგულაციასთან შესაბამისობაში მოყვანა, საჭიროების შემთხვევაში, სათანადო ფორმითა და შესაბამისი ვადის დაწესებით. ამასთან, საზედამხედველო ორგანო უფლებამოსილია, თითოეული საქმის გარემოების გათვალისწინებით, სანქციის სახით გამოიყენოს ადმინისტრაციული ჯარიმა. ამდენად, საჩივრის განხილვის პროცედურა წარმოადგენს ეფექტიან მექანიზმს მონაცემთა სუბიექტების უფლებებისა და თავისუფლებების დაცვის თვალსაზრისით.

მართლმსაჯულების სასამართლომ ყურადღება გაამახვილა ჰესენის მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ მიღებულ გადაწყვეტილებაზე, რომლითაც დადასტურდა კომერციულ ბანკში მონაცემთა უსაფრთხოების დარღვევა. აღნიშნული მართალია, მოიაზრებდა ბანკში დასაქმებულ პირთა მიერ მომხმარებლის პერსონალური მონაცემების ხელმისაწვდომობას, თუმცა საზედამხედველო ორგანოს შეფასებით, “GDPR”-ის 58-ე მუხლის მე-2 პუნქტის მიხედვით, არ არსებობდა კომერციული ბანკის წინააღმდეგ რაიმე სახის გამოსასწორებელი ზომების მიღების აუცილებლობა. აღნიშნულთან დაკავშირებით ევროკავშირის მართლმსაჯულების სასამართლომ აღნიშნა, რომ ძირითადი რეგულაცია საზედამხედველო ორგანოს გამოვლენილი ნაკლოვანების გამოსწორების ფარგლებში ანიჭებს დისკრეციას იმდენად, რამდენადაც ძირითადი რეგულაციის 58-ე მუხლის მე-2 პუნქტით გათვალისწინებულია სხვადასხვა გამოსასწორებელი ზომა, რომლის მიღების უფლებამოსილებაც გააჩნია საზედამხედველო ორგანოს. შესაბამისად, მისი პრეროგატივაა განსაზღვროს, თუ რომელი ღონისძიება იქნება შესაბამისი და აუცილებელი კონკრეტული საქმის სპეციფიკის გათვალისწინებით. თუმცა, აღნიშნული დისკრეციული უფლებამოსილება შეზღუდულია პერსონალური მონაცემების თანმიმდევრული და ეფექტიანი დაცვის საჭიროებით.

რაც შეეხება ადმინისტრაციულ ჯარიმას, იგი უნდა იქნას დაწესებული თითოეული ინდივიდუალური შემთხვევიდან გამომდინარე (“GDPR”-ის 83-ე მუხლის მე-2 პუნქტი), რეგულაციით დადგენილ ზომებთან ერთად ან მათ სანაცვლოდ. ასევე, 83-ე მუხლის მე-2 პუნქტით დაზუსტებულია, რომ ადმინისტრაციული ჯარიმის დაწესებისას, მონაცემთა დამუშავების მიზნის და მოცულობის გათვალისწინებით უნდა განისაზღვროს დარღვევის სახე, სიმძიმე და ხანგძლივობა ისევე, როგორც დაზარალებული მონაცემთა სუბიექტების რაოდენობა და ზიანი. შესაბამისად, ევროკავშირის კანონმდებლობის განსაზღვრული სანქციის სისტემა საშუალებას აძლევს საზედამხედველო ორგანოებს თითოეული ინდივიდუალური შემთხვევის შესაბამისად განსაზღვრონ შესაბამისი სახდელის სახე.

ამდენად, ძირითადი რეგულაციის 58(2)-ე და 83-ე მუხლები პერსონალურ მონაცემთა უსაფრთხოების დარღვევის შემთხვევაში, საზედამხედველო ორგანოს ყოველთვის არ ავალდებულებს გამოსასწორებელი ზომების მიღებას, კერძოდ, ადმინისტრაციული ჯარიმის დაწესებას. მისი ვალდებულებაა, რომ გამოვლენილი ნაკლოვანების გამოსასწორებლად იმოქმედოს სათანადოდ. მოცემულ შემთხვევაში, როგორც გენერალური ადვოკატის მოსაზრებაშია წარმოდგენილი, მომჩივანს, რომლის უფლებებიც იქნა დარღვეული, არ გააჩნია უფლებამოსილება, მოსთხოვოს საზედამხედველო ორგანოს, რომ დამუშავებისთვის პასუხისმგებელ პირს დააკისროს ჯარიმა.

ძირითადი რეგულაციის 58(2) და 83-ე მუხლებიც ცხადყოფს, რომ საზედამხედველო ორგანოს, მონაცემთა უსაფრთხოების დარღვევის დადგენის შემთხვევაში, ყოველთვის არ მოეთხოვება “GDPR”-ის 58-ე მუხლის მე-2 პუნქტის შესაბამისი, გამოსასწორებელი ზომების გატარება. ამგვარი ღონისძიების მიღება შეიძლება არ იყოს აუცილებელი, როდესაც ადგილი ჰქონდა “GDPR”-ის დარღვევას, თუმცა უკვე უზრუნველყოფილია რეგულაციის მოთხოვნებთან შესაბამისობა.

მაშასადამე, “GDPR”-ის 83-ე მუხლის („ადმინისტრაციული ჯარიმის დაკისრების ზოგადი წესები“) მიზანია ადმინისტრაციული ჯარიმების დაწესება რეგულაციის აღსასრულებლად. თუმცა, “GDPR”-ის პრეამბულის 148-ე პუნქტის შესაბამისად, როდესაც ჯარიმა არაპროპორციულ ტვირთს აკისრებს ფიზიკურ პირს, საზედამხედველო ორგანო უფლებამოსილია, თავი შეიკავოს ადმინისტრაციული ჯარიმის დაკისრებისგან და სანაცვლოდ, სანქციის სახით გამოიყენოს შენიშვნა (“reprimand”).

მართლმსაჯულების სასამართლომ მიუთითა განსახილველი საქმის ფაქტობრივ გარემოებებზე, რომლის თანახმად, კომერციულმა ბანკმა მომხმარებლის მონაცემთა უსაფრთხოების დარღვევის შესახებ ინფორმაცია მიაწოდა ჰესენის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს. ასევე, საზედამხედველო ორგანომ განაცხადა, რომ დასაქმებულის წინააღმდეგ მიღებული იქნა დისციპლინური ზომები და უნდა შეცვლილიყო მონაცემებზე წვდომის აღრიცხვასთან დაკავშირებული ინფორმაციის შენახვის ვადები. აღნიშნულის საფუძველზე, საზედამხედველო ორგანომ თავი შეიკავა “GDPR”-ის 58-ე მუხლის მე-2 პუნქტით გათვალისწინებული გამოსასწორებელი ზომების (მაგალითად, ადმინისტრაციული ჯარიმის დაწესება) მიღებისგან. ამასთანავე, მართლმსაჯულების სასამართლომ აღნიშნა, რომ საზედამხედველო ორგანოს მიერ მიღებული გადაწყვეტილება ექვემდებარება ეროვნული სასამართლოს განხილვას, შესაბამისად, გერმანიის ადმინისტრაციულ სასამართლოს უნდა შეეფასებინა, თუ რამდენად სათანადოდ და კანონის მოთხოვნათა დაცვით განიხილა საზედამხედველო ორგანომ საჩივარი.

ევროკავშირის მართლმსაჯულების სასამართლომ დაადგინა:

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 57(1)(a)(f)-ე, 58(2)-ე და 77(1)-ე მუხლები უნდა განიმარტოს იმ მნიშვნელობით, რომ პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებული საკანონმდებლო მოთხოვნების დარღვევის შემთხვევაში, საზედამხედველო ორგანოს არ ეკისრება ვალდებულება მიიღოს “GDPR”-ის 58-ე მუხლის მე-2 პუნქტით გათვალისწინებული გამოსასწორებელი ზომები, კერძოდ, სანქციის სახით გამოიყენოს ჯარიმა მაშინ, როდესაც ამგვარი ზომა არ არის სათანადო, აუცილებელი, პროპორციული გამოვლენილი ნაკლოვანების გამოსასწორებლად და რეგულაციასთან შესაბამისობის უზრუნველსაყოფად.