2025-01-23
ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა სუბიექტის საბანკო ანგარიშზე უკანონო წვდომის მოპოვების შესახებ
ესპანეთის მოქალაქემ, ქვეყნის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს პერსონალური მონაცემთა უკანონო დამუშავების ფაქტების შესწავლისა და დამუშავებისთვის პასუხისმგებელი პირისთვის პერსონალურ მონაცემთა უკანონო დამუშავებისთვის პასუხისმგებლობის დაკისრების მოთხოვნით მიმართა.[1]
საქმის ფაქტობრივი გარემოებები:
საზედამხედველო ორგანოს მიერ საქმის გარემოებების შესწავლის შედეგად დაადგინა, რომ მონაცემთა სუბიექტის სახელით, სხვა პირმა განახორციელა სატელეფონო ზარები დამუშავებისთვის პასუხისმგებელი პირის - კომერციული ბანკის მიერ მომხმარებელთა განცხადებებზე რეაგირებისთვის განსაზღვრულ დამუშავებაზე უფლებამოსილ პირთან. კომუნიკაციის ფარგლებში, არაუფლებამოსილმა პირმა წარადგინა მოთხოვნა მონაცემთა სუბიექტის საბანკო ანგარიშზე წვდომის მოსაპოვებლად საჭირო პაროლის შესაცვლელად. მიზეზად დასახელებულ იქნა პაროლის შეცვლის გზით სისტემაზე წვდომის აღდგენა. დამუშავებაზე უფლებამოსილმა პირი, მონაცემთა სუბიექტის ვინაობის დადგენის გარეშე, დაეყრდნო სატელეფონო ზარის ავტორის მიერ გამჟღავნებულ ინფორმაციას მისი სახელისა და გვარის შესახებ, შეცვალა პაროლი, რის შედეგადაც არაუფლებამოსილმა პირმა მოიპოვა წვდომა მონაცემთა სუბიექტის პერსონალურ საბანკო ანგარიშზე და განახორციელა საბანკო ტრანზაქციები. არაუფლებამოსილი პირის მიერ განხორციელებულმა საბანკო გადარიცხვებმა შეადგინა 50 000 ევრო.
დამუშავებისთვის პასუხისმგებელი პირი აღნიშნავდა, რომ პასუხისმგებლობა უნდა დაჰკისრებოდა სატელეფონო ზარის ავტორ არაუფლებამოსილ პირს, ვინც უკანონოდ დაეუფლა მონაცემთა სუბიექტის საბანკო ანგარიშზე არსებულ თანხას.
საზედამხედველო ორგანოს გადაწყვეტილება:
საზედამხედველო ორგანომ განმარტა, რომ დამუშავებაზე უფლებამოსილმა პირმა დაარღვია მონაცემთა დამუშავების წესი, რომელიც მას ავალდებულებდა, მონაცემთა სუბიექტის ვინაობის დასადგენად წინასწარ განსაზღვრული საკონტროლო შეკითხვების დასმას. აღნიშნული დამუშავებისთვის პასუხისმგებელ პირს ევალებოდა მონაცემთა დამუშავების მიზნის განსაზღვრა.
ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებით, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის პირველი პუნქტის საფუძველზე, პასუხისმგებლობა დაეკისრა დამუშავებისთვის პასუხისმგებელ პირს, ვინაიდან იგი განსაზღვრავდა მონაცემთა დამუშავების მიზნები და არ უზრუნველყოფდა მონაცემთა სუბიექტის ვერიფიკაციისთვის საჭირო პროცედურების ხელშეკრულების პირობების შესაბამისად შესრულების მონიტორინგს. დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ჯარიმა.
[1] Decision of DPA (Spain), 03/01/2025, <https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202303035> [14.01.2025].