2024-05-08
ესპანეთის მონაცემთა დაცვის საზედამხედველო ორგანომ (“AEPD”) კომპანია უსაფრთხოების შესაბამისი ზომების არარსებობისა და მონაცემთა უსაფრთხოების დარღვევის შესახებ დაგვიანებული შეტყობინების გამო დააჯარიმა
2024 წლის 8 მაისს, ესპანეთის მონაცემთა დაცვის საზედამხედველო ორგანომ (“AEPD”) მიიღო გადაწყვეტილება,[1] რომელიც მონაცემთა დამუშავების უსაფრთხოებისა და საზედამხედველო ორგანოსათვის მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) შესახებ შეტყობინების ვალდებულების საკითხებს შეეხება.
ფაქტობრივი გარემოებები:
მონაცემთა დაცვის საზედამხედველო ორგანოს 2023 წლის 12 მაისს გაეგზავნა შეტყობინება მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) თაობაზე, რომელიც 2023 წლის 20 აპრილს იქნა აღმოჩენილი. მონაცემთა უსაფრთხოების დარღვევაში მოიაზრებოდა საზიანო პროგრამული უზრუნველყოფა, რომელიც შექმნილია კომპიუტერულ სისტემაზე წვდომის დაბლოკვის მიზნით გამოსასყიდის გადახდის პირობით (“ransomware attack”). აღსანიშნავია, რომ დარღვევამ გავლენა იქონია პერსონალური მონაცემების ხელმისაწვდომობასა და კონფიდენციალობაზე, მათ შორის, საკონტაქტო ინფორმაციაზე, მაიდენტიფიცირებელ მონაცემებსა და პაციენტთა ჯანმრთელობასთან დაკავშირებულ მონაცემებზე.
მონაცემთა დაცვის საზედამხედველო ორგანოს დასკვნები:
საკითხის შესწავლის შედეგად “AEPD”-მ დაადგინა, რომ კომპანიას არ ჰქონდა დანერგილი “GDPR”-ის 32-ე მუხლით გათვალისწინებული მონაცემთა უსაფრთხოების სათანადო მექანიზმები. ამასთანავე, კომპიუტერულ პროგრამებზე არ იყო დამონტაჟებული საკმარისად ძლიერი ანტივირუსი. კერძოდ, კომპანიის განმარტებით, განხორციელდა მონაცემთა დაცვაზე ზეგავლენის შეფასება, რომელიც მოიაზრებდა რისკის შესამცირებლად განსახორციელებელ რიგ ღონისძიებებს. თუმცა აღნიშნული ფაქტი კომპანიამ ვერ დაადასტურა.
ესპანეთის მონაცემთა დაცვის საზედამხედველო ორგანომ აღნიშნა, რომ კომპანიამ ვერ დააკმაყოფილა “GDPR”-ის 33-ე მუხლით განსაზღვრული 72-საათიანი ვადა საზედამხედველო ორგანოსთვის მონაცემთა უსაფრთხოების დარღვევის შეტყობინებისთვის. შეტყობინება განხორციელდა ინციდენტის აღმოჩენიდან 22 დღეში, რასთან დაკავშირებითაც კომპანიამ ზემოხსენებული ვადის დარღვევა ვერ დაასაბუთა.
საქმის ფაქტობრივი გარემოების შეფასების შედეგად, მონაცემთა დამუშავების სათანადო უსაფრთხოების უზრუნველყოფისა და საზედამხედველო ორგანოსათვის ინციდენტის თაობაზე შეტყობინების ვალდებულებების დარღვევის გამო, ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა კომპანიის მიერ “GDPR”-ის 32-ე და 33-ე მუხლების დარღვევა. შედეგად, კომპანიას დაეკისრა ჯარიმა 20 000 ევროს ოდენობით.
[1] Data Guidance, Spain: AEPD fines Dentalcuadros €20,000 for lack of security measures and delayed breach notification, <https://www.dataguidance.com/news/spain-aepd-fines-dentalcuadros-20000-lack-security>.