ვებგვერდი მუშაობს სატესტო რეჟიმში
date

2024-05-02

ევროკავშირის მართლმსაჯულების სასამართლომ (“CJEU”) მონაცემთა უსაფრთხოების დარღვევაზე საზედამხედველო ორგანოს რეაგირების ვალდებულების შესახებ გენერალური ადვოკატის მოსაზრება გამოაქვეყნა


2024 წლის 11 აპრილს, ევროკავშირის მართლმსაჯულების სასამართლომ (“CJEU”)  საქმეზე: TR v Land Hessen გენერალურ ადვოკატ პრიიტ პიკამაემოსაზრება გამოაქვეყნა,[1] რომელიც შეეხება საზედამხედველო ორგანოს ვალდებულებას, დაუყოვნებლივ იმოქმედოს მონაცემთა უსაფრთხოების დარღვევის ფაქტის (ინციდენტის) აღმოჩენის შემთხვევაში.

საქმის ფაქტობრივი გარემოებების თანახმად, გერმანიაში, ჰესენის ფედერალური მიწის ერთ-ერთი კომერციული ბანკის მომხმარებელმა (მონაცემთა სუბიექტმა), მისი პერსონალური მონაცემების უსაფრთხოების დარღვევისა და მონაცემთა უკანონოდ დამუშავების გამო, ჰესენის მონაცემთა დაცვის საზედამხედველო ორგანოს კომერციული ბანკის წინააღმდეგ, საჯარიმო ღონისძიებების განხორციელების განცხადებით მიმართა. კერძოდ, ბანკის თანამშრომლისთვის, შესაბამისი საფუძვლის გარეშე, მომხმარებლის პერსონალური მონაცემები გახდა ხელმისაწვდომი, რამაც მონაცემთა უკანონოდ დამუშავება გამოიწვია.

ჰესენის მონაცემთა დაცვის საზედამხედველო ორგანომ კომერციული ბანკის ინსპექტირების შედეგად ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ დარღვევა დაადგინა. მიუხედავად აღნიშნულისა, ბანკს შესაბამისი პასუხისმგებლობა არ დააკისრა, ვინაიდან მას აღნიშნული თანამშრომლის მიმართ უკვე ჰქონდა დისციპლინური პასუხისმგებლობისათვის შესაბამისი ღონისძიებები განხორციელებული.

კომერციული ბანკის მომხმარებელმა (მონაცემთა სუბიექტმა) ჰესენის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება გერმანიის ვისბადენის ადმინისტრაციულ სასამართლოში გაასაჩივრა, რომელმაც ევროკავშირის მართლმსაჯულების სასამართლოს მონაცემთა დარღვევის ფაქტის აღმოჩენის შემთხვევაში, მონაცემთა დაცვის ძირითადი რეგულაციის“ მიხედვით საზედამხედველო ორგანოს უფლებამოსილებებისა და ვალდებულებების განმარტების თხოვნით მიმართა.

გენერალური ადვოკატის მოსაზრებით, პერსონალურ მონაცემთა დაცვის ეროვნული საზედამხედველო ორგანო ვალდებულია, დაუყოვნებლივ იმოქმედოს მონაცემთა უსაფრთხოების დარღვევის ფაქტის (ინციდენტის) გამოვლენის ან შესაბამისი ინფორმაციის მიღების შემთხვევაში. მონაცემთა სუბიექტის უფლებების დაცვის უზრუნველყოფის მიზნით, საზედამხედველო ორგანო ვალდებულია, დარღვევის სიმძიმის გათვალისწინებით, განახორციელოს სათანადო (appropriate), აუცილებელი (necessary) და პროპორციული (proportionate)  ღონისძიება. იმ შემთხვევაში, თუკი აღარ იარსებებს აქტიური მოქმედებისა და სათანადო ღონისძიებების განხორციელების აუცილებლობა, საზედამხედველო ორგანოს აქვს დისკრეცია თავი შეიკავოსმონაცემთა დაცვის ძირითადი რეგულაციით“ დადგენილი საჯარიმო ზომების გამოყენებისგან, განსაკუთრებით კი მაშინ, როდესაც დამუშავებისთვის პასუხისმგებელ პირს საკუთარი ინიციატივით აქვს მიღებული სათანადო ღონისძიებები. ასეთ შემთხვევაში, მონაცემთა სუბიექტსაც არ აქვს უფლება, მოითხოვოს რაიმე კონკრეტული ღონისძიების განხორციელება დამუშავებისთვის პასუხისმგებელი პირის მიმართ.

გენერალური ადვოკატის მოსაზრება ეყრდნობამონაცემთა დაცვის ძირითადი რეგულაციის“ 57- მუხლის პირველი პუნქტისქვეპუნქტს, რომლის თანახმად, საზედამხედველო ორგანო მისი ტერიტორიული მოქმედების ფარგლებში ზედამხედველობს რეგულაციის იმპლემენტაციისა და აღსრულების პროცესს. ასევე, მისი უფლებამოსილებაა მონაცემთა სუბიექტის მიერ რეგულაციის მე-80 მუხლის მიხედვით წარდგენილი განცხადების განხილვა და მასში მითითებული გარემოებების შესწავლა, აგრეთვე, განმცხადებლის გონივრულ ვადაში ინფორმირება საქმის მიმდინარეობის და შედეგების შესახებ. ამასთანავე, რეგულაციის 58- მუხლის მეორე პუნქტისქვეპუნქტის მიხედვით, საზედამხედველო ორგანო უფლებამოსილია განახორციელოს შესაბამისი პრევენციული ფუნქციაც. კერძოდ, გააფრთხილოს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ან დამუშავებაზე უფლებამოსილი პირი, რომ მონაცემთა დაგეგმილი დამუშავება სავარაუდოდ გამოიწვევს რეგულაციის დებულებათა დარღვევას.

გენერალური ადვოკატის დასკვნიდან გამომდინარეობს, რომ საზედამხედველო ორგანო ვალდებულია, დაუყოვნებლივ იმოქმედოს პერსონალური მონაცემების უსაფრთხოების დარღვევის ფაქტის (ინციდენტის) აღმოჩენისას, შეისწავლოს საკითხი, რის შემდეგაც იგი უფლებამოსილია, მიიღოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირისთვის ადმინისტრაციული პასუხისმგებლობის დაკისრების შესახებ.

საგულისხმოა, რომ აღნიშნული საქმე განხილვის პროცესშია, ხოლო გენერალური ადვოკატის მოსაზრება ევროკავშირის მართლმსაჯულების სასამართლოსთვის არ არის სავალდებულო ძალის მქონე.

 

[1] CJEU publishes opinion on obligation of supervisory authorities to act on discovery of a data breach: Opinion of Advocate General Pikamäe, Case C‑768/21, <dataguidance.com> [22.04.2024].

მსგავსი #Datanewsroom