2025-04-08

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება საფეხბურთო კლუბის მიერ არასრულწლოვანების პერსონალური მონაცემების დამუშავების კანონიერების შესახებ

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ საფეხბურთო კლუბის მიერ პერსონალური მონაცემების დამუშავების კანონიერების შესახებ გადაწყვეტილება მიიღო. საქმე შეეხებოდა არასრულწლოვანთა პერსონალური მონაცემების შემცველი დიდი რაოდენობის დოკუმენტაციის სანაგვე ყუთში მოთავსებას.[1]

საქმის ფაქტობრივი გარემოებები:

2024 წლის 11 ოქტომბერს, ერთ-ერთმა პირმა საფეხბურთო მოედნის მიმდებარედ არსებულ ნაგვის ურნაში აღმოაჩინა ყუთი, რომელშიც ასობით დოკუმენტი იყო განთავსებული. მათზე ასახული იყო: მონაცემთა სუბიექტთა საიდენტიფიკაციო ნომრები; სახელები და გვარები; მისამართები; არასრულწლოვანების ფოტოსურათები. საერთო ჯამში, 1 444 დოკუმენტი იქნა მოძიებული, რომელთა საშუალებით შესაძლებელი იყო პირთა იდენტიფიცირება. საფეხბურთო კლუბმა (დამუშავებისთვის პასუხისმგებელი პირი) განაცხადა, რომ დალაგების დროს შეცდომით განათავსეს შეგროვებული დოკუმენტაცია სანაგვე ყუთში.

პირი, რომელმაც აღნიშნული დოკუმენტები იპოვა, იყო ერთ-ერთი არასრულწლოვანის მამა. საკითხის შესწავლის მიზნით, მან თავდაპირველად პოლიციას, ხოლო შემდგომ ეტაპზე ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიმართა. მიმართვის საფუძველზე, 2024 წლის 19 დეკემბერს, საზედამხედველო ორგანომ საქმის შესწავლა დაიწყო.

საზედამხედველო ორგანოს გადაწყვეტილება:

საზედამხედველო ორგანომ აღნიშნა, რომ დოკუმენტებით სავსე ყუთი არ უნდა მიჩნეულიყო იმ ნივთად, რომლის განადგურებაც გარეთ განთავსებულ ნაგვის ურნაში იქნებოდა შესაძლებელი. ამასთან, არ იყო შემუშავებული პროცედურა, რის საფუძველზეც იდენტიფიცირდებოდა ის პირი, ვინც პერსონალური მონაცემების შემცველი ინფორმაცია ნაგავში გადააგდო.

დამატებით, საზედამხედველო ორგანოს შეფასებით, მიუხედავად თანამშრომლის ან მესამე პირის დაუდევრობისა, აღნიშნული საფეხბურთო კლუბს პასუხისმგებლობისგან მაინც არ ათავისუფლებდა. ამდენად, საზედამხედველო ორგანომ დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 მუხლის პირველი პუნქტის “f” ქვეპუნქტის დარღვევა, რომლის შესაბამისად დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა დამუშავების უსაფრთხოების უზრუნველსაყოფად სათანადო ტექნიკური და ორგანიზაციული ზომების მიღების ვალდებულება ეკისრება.

პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ თავდაპირველად ჯარიმის ოდენობად 1 000 ევრო განსაზღვრა, მაგრამ ესპანეთის კანონმდებლობა ითვალისწინებს ჯარიმის შემცირების შესაძლებლობას იმ შემთხვევაში, თუ დამუშავებისთვის პასუხისმგებელი პირი აღიარებს ვალდებულების დარღვევას და ნებაყოფლობით გადაწყვეტს ჯარიმის გადახდას. დამუშავებისთვის პასუხისმგებელმა პირმა ორივე საშუალება გამოიყენა, რის საფუძველზეც ჯარიმის ოდენობა 40%-ით შემცირდა და განისაზღვრა 600 ევრო.

გარდა ამისა, კლუბს დაევალა საზედამხედველო ორგანოსთვის ეცნობებინა, თუ რა ტექნიკური და ორგანიზაციული ზომები მიიღო პერსონალური მონაცემების კონფიდენციალურობის უზრუნველსაყოფად. ამასთან, უნდა მიეწოდებინა ინფორმაცია მონაცემთა შენახვის ვადისა და განადგურების საშუალებების შესახებ.

[1] GDPR hub, Decision of DPA (Spain), 17.03.2025, <https://gdprhub.eu/index.php?title=AEPD_%28Spain%29_-_EXP202414976>, [17.03.2025].