2025-11-30
ორგანიზაციებს, რომლებიც საქმიანობენ ჯანდაცვის სფეროში, ეკისრებათ პერსონალური მონაცემების განსაკუთრებული სიფრთხილითა და პასუხისმგებლობით დამუშავების ვალდებულება.[1] 2025 წლის 24 ივნისს, საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“HDPA”) მიიღო მნიშვნელოვანი გადაწყვეტილება,[2] რომელიც შეეხება აუტიზმის სპექტრის მქონე პირებთან მომუშავე ასოციაციის მიერ არასრულწლოვანის პერსონალური მონაცემების უკანონო დამუშავებას.[3]
საზედამხედველო ორგანოს საჩივრით მიმართეს არასრულწლოვანის მშობლებმა, რომელთა შვილი მონაწილეობდა აუტიზმის სპექტრის მქონე პირებთან მომუშავე ასოციაციის - „დავითის ფარის“ - თერაპიულ პროგრამაში. მშობლებმა, როგორც არასრულწლოვანის კანონიერმა წარმომადგენლებმა, განაცხადეს, რომ ასოციაციამ დაარღვია „მონაცემთა დაცვის ძირითადი რეგულაციით“ (“GDPR”) დადგენილი არაერთი პრინციპი. დავა შეეხებოდა შემდეგ საკითხებს:
წინამდებარე საქმის ფაქტობრივი გარემოებების მხედველობაში მიღებით საბერძნეთის საზედამხედველო ორგანომ დაადგინა შემდეგი:
„მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის მიხედვით, მონაცემთა სუბიექტს უფლება აქვს გაეცნოს მის შესახებ არსებულ პერსონალურ მონაცემებს და მიიღოს ამ მონაცემების ასლები.
აღნიშნულის საპირისპიროდ, ასოციაციამ ვერ წარმოადგინა მტკიცებულება, რომ მშობლებისთვის ვიდეოჩანაწერის გადაცემით დაირღვეოდა ასოციაციის თანამშრომლების უფლებები. ამასთან, ასოციაციას არც უცდია შესაბამისი ტექნიკური საშუალებების გამოყენებით ჩანაწერებში თანამშრომელთა გამოსახულებების დაფარვა და ჩანაწერების ამ ფორმით გადაცემა. შესაბამისად, “HDPA”-მ დაადგინა, რომ ორგანიზაციამ დაარღვია “GDPR”-ის მე-12 (2) და მე-15 მუხლები.
საზედამხედველო ორგანომ დაადგინა, რომ მშობელთა წინასწარი თანხმობის გარეშე არასრულწლოვანის განსაკუთრებული კატეგორიის მონაცემების მესამე პირზე გადაცემით, ასოციაციამ დაარღვია “GDPR”-ის მე-5, მე-13 და 24-ე მუხლები.
“HDPA”-მ ხაზი გაუსვა, რომ მონაცემთა გადაცემისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია:
“HDPA”-მ დაადგინა, რომ ასოციაციის მიერ სასამართლოს შუალედური გადაწყვეტილების (რომელიც შეიცავდა როგორც არასრულწლოვანის, ასევე მისი მშობლების პერსონალურ მონაცემებს) ადრესატთა ფართო წრესთან გაზიარებით დაირღვა მიზნის შეზღუდვის, მონაცემთა მინიმიზაციისა და გამჭვირვალობის პრინციპები. კერძოდ, მიუხედავად იმისა, რომ ასოციაციის მიზანი შესაძლოა ლეგიტიმური ყოფილიყო (პარტნიორი დაწესებულებებისთვის სამართლებრივი პოზიციის გაცნობა), მსგავსი მიზანი მიიღწეოდა დოკუმენტის ანონიმიზებული ფორმით გავრცელებითაც, იდენტიფიცირებადი მონაცემების გამჟღავნების გარეშე. შესაბამისად, საზედამხედველო ორგანომ დაადგინა “GDPR”-ის მე-5 და მე-13 მუხლების დარღვევა.
„მონაცემთა დაცვის ძირითადი რეგულაციის“ 31-ე მუხლის მიხედვით, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია თავისი საქმიანობის განხორციელებისას, მოთხოვნის საფუძველზე, ითანამშრომლოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოსთან.
წინამდებარე შემთხვევაში მონაცემთა სუბიექტის განცხადების საფუძველზე საზედამხედველო ორგანომ დაიწყო განცხადებასთან დაკავშირებული გარემოებების შესწავლა. მოკვლევის პროცესში ასოციაციის პასუხები კი იყო არასრული და ზოგჯერ ურთიერთგამომრიცხავი, რამაც მნიშვნელოვნად შეაფერხა ორგანოს საქმიანობა. შედეგად, “HDPA”-მა დაადგინა “GDPR”-ის 31-ე მუხლის დარღვევა.
საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ აუტიზმის სპექტრის მქონე არასრულწლოვანის პერსონალური მონაცემების დამუშავებისას ასოციაციამ დაარღვია “GDPR”-ის მე-5, მე-12, მე-13, მე-15-ე, 24-ე და 31-ე მუხლები. დარღვევების ხასიათისა და სიმძიმის გათვალისწინებით, დაწესებულებას დააკისრა ჯარიმა 10 000 ევროს ოდენობით.
საზედამხედველო ორგანომ ხაზი გაუსვა, რომ აღნიშნული დარღვევები შეეხებოდა “GDPR”-ის ფუნდამენტურ პრინციპებს - კანონიერებას, გამჭვირვალობას, პროპორციულობასა და ანგარიშვალდებულებას - და კიდევ ერთხელ დაადასტურა, რომ ორგანიზაციებმა, რომლებიც ამუშავებენ არასრულწლოვნების მონაცემებს, უნდა გამოიჩინონ განსაკუთრებული სიფრთხილე, პროფესიული პასუხისმგებლობა და უზრუნველყონ მონაცემთა დამუშავების გამჭვირვალობა.
[1] Zandilli Lucien (Aphaia), Greek SA fines association for unlawful transmission of special category data, failure to facilitate access rights, and lack of cooperation (21 August 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://aphaia.co.uk/greek-sa-fines-association-for-unlawful-transmission-of-special-category-data-failure-to-facilitate-access-rights-and-lack-of-cooperation/ [10.10.2025].
[2] Hellenic Data Protection Authority (HDPA), Decision 31/2025 (24 June 2025), გადაწყვეტილების ორიგინალი ვერსია ხელმისაწვდომია შემდეგ ბმულზე: https://www.dpa.gr/sites/default/files/2025-07/31_2025%20anonym.pdf [10.10.2025].
[3] European Data Protection Board (EDPB), Greek SA: Imposition of fine on association for transmission of sensitive data, failure to facilitate right of access and lack of cooperation with the SA (12 August 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://www.edpb.europa.eu/news/national-news/2025/greek-sa-imposition-fine-association-transmission-sensitive-data-failure_en [10.10.2025].
ჩეხეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა უკანონო დამუშავებისთვისა და ი...
2024 წლის 30 მაისს, იტალიის მონაცემთა დაცვის საზედამხედველო ორგანომ (“Garante per la protezione dei dati personali”) გამოსცა ინსტრუქც...
ორგანიზაციებს, რომლებიც საქმიანობენ ჯანდაცვის სფეროში, ეკისრებათ პერსონალური მონაცემების განსაკუთრებული სიფრთხილითა და პასუხისმგებ...
საზედამხედველო ორგანომ კომპანია „მეტა“ 91 მილიონი ევროს ოდენობით დააჯარიმა. [1] საქმის ფაქტობრივი გარემოე...
+995 32 242 1000
office@pdps.ge
