2025-07-02

ესპანეთის სამეფოს საზედამხედველო ორგანოს გადაწყვეტილება უნივერსიტეტის მიერ ხელოვნური ინტელექტის სისტემის გამოყენებით პერსონალური მონაცემების დამუშავების შესახებ

თანამედროვე საგანმანათლებლო პროცესში დისტანციურმა სწავლებამ და შეფასებამ განსაკუთრებული მნიშვნელობა შეიძინა, რამაც განაპირობა ზოგიერთი უმაღლესი საგანმანათლებლო დაწესებულების მხრიდან მკაცრი მონიტორინგისა და კონტროლის მექანიზმების დანერგვა. 2025 წლის 3 ივნისს ესპანეთის სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (შემდგომ - “AEPD”) მიიღო გადაწყვეტილება,[1] რომელიც, დისტანციური გამოცდების მონიტორინგის მიზნით, ვალენსიის საერთაშორისო უნივერსიტეტის (“UIV”) მიერ ხელოვნური ინტელექტის სისტემების (“AI”) მეშვეობით, სტუდენტთა ბიომეტრიული მონაცემების დამუშავებას შეეხება.[2]

ფაქტობრივი გარემოებები

ესპანეთის სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს საჩივრით მიმართეს ვალენსიის საერთაშორისო უნივერსიტეტის სტუდენტებმა, რომლებიც განმარტავდნენ, რომ უნივერსიტეტის მიერ დადგენილი პრაქტიკით, დისტანციურ ფორმატში გამოცდის ჩაბარება შესაძლებელი იყო მხოლოდ იმ შემთხვევაში, თუ სტუდენტები დათანხმდებოდნენ ხელოვნურ ინტელექტზე დაფუძნებული ბიომეტრიული სისტემის გამოყენებას. აღნიშნული სისტემა, სტუდენტებისთვის ალტერნატიული არჩევანის შეთავაზების გარეშე, ითვალისწინებდა:

ბიომეტრიული სახის ამომცნობი მექანიზმის გამოყენებას, რომელიც მონაცემთა სუბიექტის უნიკალური იდენტიფიცირების საშუალებას იძლეოდა;
ორმაგი კამერის („360° მონიტორინგის“) მოქმედებას, რაც გულისხმობდა უშუალოდ სტუდენტის, მისი გარემოსა და ქცევის მუდმივ ზედამხედველობას.

სისტემა რეალურ დროში იღებდა და ამუშავებდა გამოსახულებებს სტუდენტთა ვინაობის დადასტურების მიზნით.

უნივერსიტეტის მიერ მომზადებულ მონაცემთა დაცვაზე ზეგავლენის შეფასების (“DPIA”) დოკუმენტში მითითებული იყო ინფორმაცია მონაცემთა დამუშავების ახალი ტექნოლოგიის სტუდენტთა უფლებებისა და თავისუფლებებისთვის მაღალი რისკის შემცველობის თაობაზე. უნივერსიტეტი სადავო პრაქტიკას ამართლებდა შემდეგი არგუმენტებით:

ხელოვნური ინტელექტის სისტემის გამოყენება აუცილებელი იყო დისტანციურად წარმოებული გამოცდების ხარისხის უზრუნველსაყოფად;
სტუდენტების მხრიდან არსებობდა მათი პერსონალური მონაცემების დამუშავებაზე თავისუფლად და მკაფიოდ გამოხატული თანხმობა, რომელიც გაცემული იყო უნივერსიტეტში აკადემიური რეგისტრაციის დროს;
პრაქტიკა გამართლებული იყო მნიშვნელოვანი საჯარო ინტერესით (აკადემიური თაღლითობის წინააღმდეგ ბრძოლა).

გარდა ამისა, უნივერსიტეტი ამტკიცებდა, რომ დამუშავებული მონაცემები ფსევდონიმიზებული იყო და მალევე იშლებოდა.

საზედამხედველო ორგანოს შეფასება

საზედამხედველო ორგანომ საქმის განხილვისას დაადგინა, რომ უნივერსიტეტის მიერ დამუშავებული ინფორმაცია, კერძოდ, ბიომეტრიული მონაცემები, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების საშუალებას იძლეოდა, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-9 მუხლის შესაბამისად - განსაკუთრებული კატეგორიის მონაცემებს წარმოადგენდა. ამასთან, განსაკუთრებული კატეგორიის მონაცემების დამუშავება აკრძალულია, გარდა იმ შემთხვევებისა, როდესაც არსებობს ამავე მუხლის მე-2 პუნქტით დადგენილი გამონაკლისები. ესპანეთის სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს შეფასებით, უნივერსიტეტის მიერ დასახელებული საფუძვლები არ შეესაბამებოდა აღნიშნულ გამონაკლისებს.

თანხმობის გაცემის მართლზომიერება

საზედამხედველო ორგანომ მიიჩნია, რომ სტუდენტების თანხმობა სახის ამომცნობი ტექნოლოგიის გამოყენებით მათი ბიომეტრიული მონაცემების დამუშავებაზე ვერ ჩაითვლებოდა „თავისუფლად და მკაფიოდ გამოხატულად“, ვინაიდან მათ არ ჰქონდათ რეალური არჩევანის გაკეთების შესაძლებლობა. კერძოდ, თანხმობის გაცემაზე უარის თქმის შემთხვევაში სტუდენტები კარგავდნენ დისტანციურად გამოცდის ჩაბარების საშუალებას. შესაბამისად, თანხმობა ვერ აკმაყოფილებდა “GDPR”-ის მოთხოვნებს, რომლის თანახმად, მონაცემთა სუბიექტის თანხმობა უნდა იყოს ინფორმირებული და ეფუძნებოდეს სუბიექტის თავისუფალ და მკაფიოდ გამოხატულ ნებას.

მნიშვნელოვანი საჯარო ინტერესი

საზედამხედველო ორგანომ არ გაიზიარა უნივერსიტეტის არგუმენტი, რომ ბიომეტრიული მონაცემების დამუშავება გამართლებული იყო „მნიშვნელოვანი საჯარო ინტერესით“. “AEPD”-მ განმარტა, რომ ესპანეთის სამეფოს ეროვნულ კანონმდებლობაში არ არსებობდა სპეციალური ნორმა, რომელიც უნივერსიტეტებს, დისტანციური გამოცდების მონიტორინგის მიზნით, ბიომეტრიული იდენტიფიკაციის გამოყენების უფლებას მისცემდა. საზედამხედველო ორგანოს განმარტებით, ვალენსიის საერთაშორისო უნივერსიტეტის მიერ მითითებული „უნივერსიტეტების ორგანული კანონის“ 46.3-ე მუხლი, რომელიც ცოდნის შემოწმების ზოგად ვალდებულებას აწესებდა, არ წარმოადგენდა საკმარის სამართლებრივ საფუძველს მაღალი რისკის შემცველი სისტემის გამოყენების გასამართლებლად.

საკანონმდებლო რეგულირება

საზედამხედველო ორგანომ განმარტა, რომ ბიომეტრიული მონაცემების გამოყენება დასაშვები იქნებოდა მხოლოდ იმ შემთხვევაში, თუ შეიქმნებოდა სპეციალური კანონმდებლობა, რომელიც:

აკადემიური თაღლითობის პრევენციას მიიჩნევდა მნიშვნელოვან საჯარო ინტერესად;
განსაზღვრავდა რა შემთხვევებში და რა გარანტიების არსებობისას იქნებოდა დასაშვები ბიომეტრიულ მონაცემთა დამუშავება;
დააწესებდა მონაცემთა სუბიექტის უფლებების დასაცავად უსაფრთხოების მინიმალურ ტექნიკურ და ორგანიზაციულ ზომებს.

ევროკავშირის „ხელოვნური ინტელექტის შესახებ“ აქტის (“AI Act”) რელევანტური ნორმები

საზედამხედველო ორგანომ აღნიშნა, რომ ხელოვნური ინტელექტის სისტემები, რომლებიც ბიომეტრიულ მონაცემებს ამუშავებს, ევროკავშირის „ხელოვნური ინტელექტის შესახებ“ აქტით მაღალი რისკის კატეგორიის ტექნოლოგიებს (დანართი III) მიეკუთვნება. “AEPD”-ის განმარტებით, “AI Act” თავისთავად არ წარმოადგენს ესპანეთის სამეფოში მსგავსი სისტემების განათლების სფეროში გამოყენების სამართლებრივ საფუძველს. “AI Act” ადგენს, რომ ამ ტიპის სისტემების დანერგვამდე აუცილებელია ეროვნული (ან ევროპული) სამართლებრივი აქტის მიღება, რაც უზრუნველყოფს სათანადო წესებსა და გარანტიებს.

გადაწყვეტილება

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ ვალენსიის საერთაშორისო უნივერსიტეტის მიერ განხორციელებული პრაქტიკა - დისტანციური გამოცდების მონიტორინგის მიზნით, ხელოვნური ინტელექტის სისტემების მეშვეობით სტუდენტთა ბიომეტრიული მონაცემების დამუშავება - არღვევდა “GDPR”-ის მოთხოვნებს, ვინაიდან არ არსებობდა მონაცემთა დამუშავების სამართლებრივი საფუძველი და იზღუდებოდა სტუდენტთა ფუნდამენტური უფლებები და თავისუფლებები.

საზედამხედველო ორგანოს გადაწყვეტილებით, უნივერსიტეტს დაეკისრა სანქცია და მიეცა დავალება, შეეწყვიტა მონაცემთა დამუშავების აღნიშნული პრაქტიკა და შეემუშავებინა შესაბამისი ალტერნატიული მეთოდები. საზედამხედველო ორგანომ ასევე განმარტა, რომ აკადემიური თაღლითობის პრევენციის მიზნით ბიომეტრიული მონაცემების დამუშავება პრინციპულად არ განიხილებოდა უკანონო პრაქტიკად, თუმცა აღნიშნული მხოლოდ მაშინ იქნებოდა დასაშვები, თუ დამუშავება მოხდებოდა მკაფიოდ განსაზღვრული კანონმდებლობის საფუძველზე და სათანადო გარანტიების დაცვით.

[1] GPAI Global Partnership, AEPD Bans AI-Based Facial Recognition for Online University Exams in Spain (3 June 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://oecd.ai/en/incidents/2025-06-03-fe76 [08.10.2025].

[2] Spanish Data Protection Agency, The AEPD Sanctions the Processing of Biometric Data with AI in Online University Assessments (3 June 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://www.aepd.es/informes-y-resoluciones/criterios-juridicos-aepd/aepd-sanciona-tratamiento-datos-biometricos-ia [08.10.2025].