2025-01-23

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა ცენტრალიზებული დამუშავების შესახებ

---

საქმის ფაქტობრივი გარემოებები:

„ფრიდელიტი“ ბელგიასა და იტალიაში ცნობილ ტექნოლოგიურ კომპანიას წარმოადგენს, რომელიც მომხმარებლებს შესყიდვის პროცესში ხარჯების დაზოგვას უმარტივებს. მისი აპლიკაცია მომხმარებლებს აჩვენებს პარტნიორი კომპანიების ფასდაკლებებსა და ლოიალურობის დაგროვებულ ქულებს. ამის მისაღწევად კომპანია ამუშავებს ბელგიის ელექტრონული საიდენტიფიკაციო ბარათების მონაცემს, შეგროვებული მონაცემები შემდგომ ინახება მონაცემთა შენახვის ერთიან სისტემაში, რომელზე წვდომის უფლებას დამუშავებისთვის პასუხისმგებელი პირი მის პარტნიორ კომპანიებს ანიჭებდა.[1]

საზედამხედველო ორგანოს გადაწყვეტილება:

საზედამხედველო ორგანომ პრობლემურად სამი ძირითადი საკითხი მიიჩნია: კომპანიის მიერ საიდენტიფიკაციო და საკონტაქტო მონაცემთა შენახვის პროცესი, ამ მონაცემთა გაზიარება და მათი მესამე პირებთან გადაცემა. განისაზღვრა მონაცემების შეგროვების საშუალებები მომხმარებელთა ელექტრონული საიდენტიფიკაციო ბარათების სკანირებით, ვებგვერდის „მზა-ჩანაწერებით“ (“cookies”) და ცენტრალურ შენახვის სისტემაზე (“central filing system”) მომხმარებელთა დარეგისტრირებით. ამასთანავე, დამუშავებისთვის პასუხისმგებელი პირი მონაცემებს ღებულობდა პარტნიორი კორპორაციებისგან, რომლებიც სანაცვლოდ „ფრიდელიტის“ რეკლამირებას უწევდნენ თავიანთ ვებგვერდებზე.

საზედამხედველო ორგანომ დაადგინა, რომ „ფრიდელიტი“ და მისი პარტნიორი კომპანიები უნდა იყვნენ მიჩნეული თანადამუშავებისთვის პასუხისმგებელ პირებად.[2]

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 26-ე მუხლის მიხედვით თანადამუშავებისთვის პასუხისმგებელი პირები ერთად განსაზღვრავენ მონაცემთა დამუშავების მიზნებსა და საშუალებებს. საზედამხედველო ორგანომ დაადგინა, რომ „ფრიდელიტის“ მონაცემთა დამუშავების მიზნად განსაზღვრული ჰქონდა მონაცემთა შეგროვება და დამუშავება, იგივე მიზანი ამოძრავებდათ მის პარტნიორ კომპანიებს, რომლებისთვისაც „ფრიდელიტის“ აპლიკაციაზე მონაცემთა დამუშავება მყიდველთა ლოიალურობის გაზრდის საშუალება იყო. მონაცემთა დამუშავების ფორმად საზედამხედველო ორგანომ მიიჩნია „ფრიდელიტის“ მიერ პარტნიორი კომპანიების ვებგვერდებიდან ფიზიკური პირების მონაცემთა შეგროვება.

გამოვლენილი დარღვევები:

თანადამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლი, რადგან მონაცემთა დამუშავება არ განახორციელა კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნებისთვის. თანადამუშავებისთვის პასუხისმგებელმა პირებმა არ შეასრულეს რეგულაციის მე-7 მუხლის მესამე პუნქტით დადგენილი ვალდებულება, რომლის მიხედვითაც მონაცემთა სუბიექტს თანხმობის გამოხმობა უნდა შეეძლოს მარტივად და ნებისმიერ დროს.

ასევე, დადგინდა მონაცემთა მინიმიზაციის პრინციპის (რეგულაციის მე-5 მუხლი) და მონაცემთა დაცვის როგორც პირველადი პარამეტრის (რეგულაციის 25-ე მუხლის პირველი პუნქტის) დარღვევა, ვინაიდან თანადამუშავებისთის პასუხისმგებელი პირები აგროვებდნენ მონაცემთა სუბიექტის მაიდენტიფიცირებელი ბარათის დამზადების შესაბამისი მუნიციპალიტეტის მონაცემებს. დაირღვა აგრეთვე, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით განსაზღვრული მონაცემთა შეზღუდვის პრინციპი. კერძოდ, დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა შენახვის სისტემაში მონაცემთა შენახვის ვადა 8 წელი იყო, რაც მკვეთრად აღემატებოდა დასახული მიზნისთვის საჭირო დროს.

შედეგად, „ფრიდელიტიმ“ საზედამხედველო ორგანოსგან  მიიღო შენიშვნა და დაევალა 4 თვის ვადაში სხვადასხვა ღონისძიების გატარება:[3]

1. მომხმარებელთა მიერ მონაცემთა დამუშავებაზე თავისუფლად და მკაფიოდ გამოხატული თანხმობის მიღების მექანიზმების შემუშავება;
2. ტექნიკური და ორგანიზაციული ზომების მიღება, რომლის მეშვეობით მონაცემთა სუბიექტს შეძლებოდა თანხმობის გამოხმობა;
3. მონაცემთა შეგროვების პროცესის დოკუმენტირება;
4. ელექტრონული საიდენტიფიკაციო ბარათიდან მომხმარებელთა პერსონალური მონაცემების შეგროვების შეწყვეტა.