2024-11-07

„ევროპის მონაცემთა დაცვის ზედამხედველის“ (“EDPS”) მოსაზრება ადმინისტრაციული წარმოების ფარგლებში დამუშავებული პერსონალური მონაცემების შენახვის ვადის განსაზღვრის შესახებ

„ევროპის მონაცემთა დაცვის ზედამხედველმა“ (“EDPS”) გამოაქვეყნა მოსაზრება (“opinion”), რომელიც შეეხება ადმინისტრაციული წარმოების ფარგლებში დამუშავებული პერსონალური მონაცემების შენახვის ვადის განსაზღვრის შესახებ ევროპოლის მმართველი საბჭოს (“Europol Management Board Decision”) გადაწყვეტილების პროექტს.[1]

ევროკავშირის მონაცემთა დაცვის რეგულაციის ― “EUDPR”[2] მე-2(1) მუხლის თანახმად, რეგულაციის მოქმედება ასევე ვრცელდება ევროპოლის მიერ პერსონალური მონაცემების დამუშავების პროცესზე.

“EUDPR”-ის მე-4(1)(ე) ქვეპუნქტის შესაბამისად, ევროპოლი, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი, ვალდებულია ადმინისტრაციული წარმოების ფარგლებში განსაზღვროს კონკრეტული მიზნით დამუშავებული პერსონალური მონაცემების შენახვის მაქსიმალური ვადა, რომელიც აუცილებელი და პროპორციული უნდა იყოს მონაცემთა დამუშავების მიზანთან მიმართებით („შენახვის ვადის შეზღუდვა“). ანგარიშვალდებულების პრინციპის თანახმად, მნიშვნელოვანია, რომ ევროპოლმა უზრუნველყოს კანონშესაბამისობა. ამასთანავე, “EUDPR”-ის შესაბამისად, ორგანიზაციამ უნდა განსაზღვროს თითოეული ფაილის შენახვის ვადა და მონაცემთა დამუშავების პროცესში მიიღოს სათანადო ტექნიკურ-ორგანიზაციული ზომები.

„ევროპოლის მმართველი საბჭოს“ (“Europol Management Board Decision”) გადაწყვეტილების პროექტთან დაკავშირებით “EDPS”-ის მიერ გაიცა შემდეგი რეკომენდაციები:

“EUDPR”-ის მე-4(1)(ე) და მე-4(2) მუხლებთან შესაბამისობის უზრუნველსაყოფად, “EDPS” მიზანშეწონილად მიიჩნევს, რომ საბჭოს გადაწყვეტილების პროექტის შენახვის ცხრილის შესახებ დანართში აისახოს ის კრიტერიუმები და ელემენტები, რომლებიც ადასტურებს დამუშავებული პერსონალური მონაცემების შენახვის განსაზღვრულ ვადას;
მონაცემთა კატეგორიების მიხედვით შენახვის ვადის სწორად განსაზღვრის მიზნით, მიზანშეწონილია, ევროპოლმა გადახედოს მონაცემთა დამუშავების შესახებ არსებულ ჩანაწერებს;
შენახვის პერიოდების უსაფრთხოდ დანერგვისა და შემდგომ მისი შემოწმების მიზნით, მიზანშეწონილია, ევროპოლი დარწმუნდეს, რომ მისი საინფორმაციო სისტემები სათანადოდ არის განახლებული.

„ევროპის მონაცემთა დაცვის ზედამხედველი“ მიესალმება იმ ფაქტს, რომ გადაწყვეტილების პროექტი ითვალისწინებს შენახვის ვადის შეზღუდვის პრინციპს. პროექტის მე-3 მუხლის თანახმად, ადმინისტრაციული წარმოების ფარგლებში დამუშავებული პერსონალური მონაცემების შენახვა შესაძლებელია საგამონაკლისო შემთხვევებში, პროექტით დადგენილ ვადაზე მეტი ხნით, თუკი მონაცემები მუშავდება არქივირებისთვის ან თუკი არსებობს საჯარო ინტერესი, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკის წარმოების მიზნები. ამასთანავე, “EUDPR”-ის მე-13 მუხლის მიხედვით, მონაცემთა სუბიექტების უფლებებისა და თავისუფლებების დასაცავად უნდა არსებობდეს შესაბამისი გარანტიები.

აღნიშნულთან დაკავშირებით, „ევროპის მონაცემთა დაცვის ზედამხედველის“ რეკომენდაციის თანახმად, ევროპოლმა გადაწყვეტილების პროექტის მე-3 მუხლში სასურველია მკაფიოდ განაცხადოს, რომ ხსენებული მიზნებისთვის პერსონალური მონაცემების შენახვის ვადის გაზრდის საგამონაკლისო შემთხვევები სრულად შეესაბამება “EUDPR”-ის მე-13 მუხლის მოთხოვნებს.

ასევე, “EDPS” მიზანშეწონილად მიიჩნევს, რომ პროექტის მე-3 მუხლის მე-4 პუნქტი ითვალისწინებდეს მონაცემთა კატეგორიების მიხედვით შენახვის ვადის განსაზღვრის შესახებ კრიტერიუმების დოკუმენტირების ვალდებულებას. ზედამხედველის შეფასებით, მნიშვნელოვანია, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს დაეკისროს იმ კრიტერიუმების ანალიზის ვალდებულება, რომლითაც ხორციელდება ადმინისტრაციული წარმოების ფარგლებში დამუშავებული პერსონალური მონაცემების შენახვის ვადის გაგრძელების აუცილებლობის დადგენა და ასევე, განსაზღვროს შეფასების განხორციელების სიხშირე.

გადაწყვეტილების პროექტის დანართი ითვალისწინებს საზოგადოებასთან ურთიერთობის, მარკეტინგის, პრესისა და მსგავს საქმიანობასთან დაკავშირებული მონაცემების შენახვის სამწლიან ვადას. “EDPS”-ის მოსაზრებით, მნიშვნელოვანია განისაზღვროს ვადის ათვლის ზუსტი თარიღი და დასაბუთდეს მონაცემების შენახვის სამწლიანი ვადის მიზანშეწონილობა.

„ევროპის მონაცემთა დაცვის ზედამხედველი“ დადებითად აფასებს მონაცემთა სუბიექტის წვდომის უფლებასთან მიმართებით შენახვის სამწლიან ვადას, თუმცა იგი ამასთანავე საჭიროდ მიიჩნევს, რომ განისაზღვროს ვადის ათვლის თარიღი.

აღსანიშნავია, რომ „ევროპის მონაცემთა დაცვის ზედამხედველმა“ ევროპოლის მმართველი საბჭოს გადაწყვეტილების პროექტთან დაკავშირებით 33 რეკომენდაცია გასცა. ანგარიშვალდებულების პრინციპის შესაბამისად, მონაცემთა დაცვის ზედამხედველი იმედოვნებს, რომ აღნიშნული რეკომენდაციები გათვალისწინებული იქნება და გადაიდგმება შესაბამისი ნაბიჯები მონაცემთა დაცვის კანონმდებლობასთან შესაბამისობის უზრუნველსაყოფად.

[1] Supervisory opinion on the draft Europol Management Board Decision laying down rules to determine time limits for the storage of administrative personal data, <https://www.edps.europa.eu/data-protection/our-work/publications/opinions/2024-10-17-opinion-europol-management-board-rules-determine-time-limits-storage-administrative-personal-data_en> [23.10.2024].

[2] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC.