2025-12-17

ავსტრიის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომპანია “Microsoft”-ის მიერ მოსწავლის პერსონალური მონაცემების უკანონო დამუშავების შესახებ

---

კომპანიებს, რომლებიც საქმიანობენ განათლების სექტორში, ეკისრებათ ვალდებულება, უზრუნველყონ პერსონალური მონაცემების განსაკუთრებული სიფრთხილითა და პასუხისმგებლობით დამუშავება. 2025 წლის 8 ოქტომბერს ავსტრიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“DSB”) მიიღო გადაწყვეტილება კომპანია “Microsoft”-ის მიერ სკოლის მოსწავლეების მონაცემების უკანონო დამუშავების შესახებ.[1]

ფაქტობრივი გარემოებები

ავსტრიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“DSB”) საჩივრით მიმართა არასრულწლოვანმა მოსწავლემ და მისმა მშობელმა, რომელთა სამართლებრივი წარმომადგენელი იყო ავსტრიული არასამთავრობო ორგანიზაცია - „ევროპის ციფრული უფლებების ცენტრი“ (“Noyb”).[2]

არასრულწლოვანი სწავლობდა საჯარო სკოლაში, რომელიც სასწავლო პროცესში სხვადასხვა მიზნით იყენებდა კომპანია “Microsoft”-ის ერთ-ერთ პროგრამას (პლატფორმას), სახელწოდებით “365 Education”. მოსწავლის მშობელმა, როგორც მონაცემთა სუბიექტის კანონიერმა წარმომადგენელმა, მიმართა “Microsoft”-ს და მოსთხოვა, „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) შესაბამისად მიეწოდებინა ინფორმაცია, თუ რა ტიპის პერსონალურ მონაცემებს ამუშავებდა პლატფორმა.[3]

კომპანიამ უარი განაცხადა ინფორმაციის მიწოდებაზე არგუმენტით, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი იყო საჯარო სკოლა და მოთხოვნა გადაამისამართა სკოლასთან. თავის მხრივ, სკოლამ ვერ შეძლო ამომწურავი ინფორმაციის მიწოდება და აღიარა, რომ მას არ ჰქონდა დეტალური ინფორმაცია, თუ კონკრეტულად რა მონაცემები მუშავდებოდა “Microsoft”-ის მიერ და რა მიზნებით. ავსტრიის განათლების სამინისტრომ, რომელიც უზრუნველყოფდა ეროვნულ დონეზე ინფორმაციული ტექნოლოგიების (“IT”) ინფრასტრუქტურის მუშაობას, ასევე აღნიშნა, რომ არ ფლობდა სრულყოფილ ინფორმაციას “Microsoft”-ის მიერ ავსტრიის საჯარო სკოლების ფარგლებში მონაცემთა დამუშავების პრაქტიკის შესახებ.

ამასთან, მოსწავლის მშობელმა წარმოადგინა, მათ შორის, ტექნიკური ხასიათის მტკიცებულებები, რომლებიც ადასტურებდა, რომ ყოველ ჯერზე, როდესაც მოსწავლე იყენებდა პლატფორმა “365 Education”-ში შექმნილ საკუთარ სასწავლო ანგარიშს, ავტომატურად, თანხმობის გაცემის გარეშე, ირთვებოდა ე.წ. „მზა ჩანაწერები“ (“cookies”). როგორც დადგინდა, აღნიშნული „მზა ჩანაწერები“ ტექნიკურად აუცილებელი არ იყო პლატფორმის ფუნქციონირებისთვის და გამოიყენებოდა მარკეტინგული და პროდუქტის გაუმჯობესების მიზნებისთვის. მოსწავლე და მისი მშობელი არ იყვნენ ინფორმირებულები პლატფორმის მიერ აღნიშნული “Cookies” გამოყენების შესახებ და არც თანხმობა ჰქონდათ გაცემული ამ მიზნით მონაცემთა დამუშავებაზე.

 საზედამხედველო ორგანოს შეფასება

1. დამუშავებისთვის პასუხისმგებელი პირების განსაზღვრა

საზედამხედველო ორგანომ საქმის შესწავლის პირველ ეტაპზე განსაზღვრა საქმეში ჩართული რომელი იურიდიული პირი წარმოადგენდა მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს.

“GDPR”-ის მე-4 მუხლის მე-7 პუნქტის თანახმად, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ნიშნავს: „ფიზიკურ ან იურიდიულ პირს, საჯარო უწყებას, დაწესებულებას ან სხვა ორგანოს, რომელიც დამოუკიდებლად ან სხვებთან ერთად განსაზღვრავს პერსონალური მონაცემების დამუშავების მიზნებსა და საშუალებებს.“

საზედამხედველო ორგანომ დაადგინა, რომ სკოლა და განათლების სამინისტრო მოქმედებდნენ როგორც თანადამუშავებისთვის პასუხისმგებელი პირები (“joint controllers”). სკოლამ მიიღო გადაწყვეტილება სასწავლო პროცესში პლატფორმა “365 Education”-ის გამოყენების შესახებ, ხოლო სამინისტრო უზრუნველყოფდა ეროვნულ “IT” ინფრასტრუქტურას. შესაბამისად, ორივე მათგანი ვალდებული იყო უზრუნველეყო მონაცემთა სუბიექტების - მოსწავლეების უფლებების დაცვა.

რაც შეეხება კომპანია “Microsoft”-ს, საზედამხედველო ორგანომ დაადგინა, რომ კომპანია პლატფორმა “365 Education”-ის გამოყენებით ამუშავებდა მომხმარებელთა მონაცემებს სკოლის მიერ განსაზღვრულ მიზნებს მიღმა, მათ შორის, პროდუქტის გაუმჯობესებისა და შიდა ანგარიშგებისთვის. ვინაიდან აღნიშნული მიზნებით მონაცემთა დამუშავება ემსახურებოდა “Microsoft”-ის კომერციულ ინტერესებს და არა საგანმანათლებლო მიზნებს, კომპანია მოქმედებდა როგორც დამოუკიდებელი დამუშავებისთვის პასუხისმგებელი პირი.

2.  „მონაცემთა დაცვის ძირითადი რეგულაციის“ დარღვევები

მონაცემთა დამუშავებისთვის პასუხისმგებელი პირების იდენტიფიცირების შემდეგ, საზედამხედველო ორგანომ შეაფასა, სახეზე იყო თუ არა “GDPR”-ის დარღვევა. საზედამხედველო ორგანომ დაადგინა შემდეგი:

• საჯარო სკოლამ და განათლების სამინისტრომ, როგორც თანადამუშავებისთვის პასუხისმგებელმა პირებმა, დაარღვიეს “GDPR”-ის მე-15 მუხლი („მონაცემთა სუბიექტის მიერ მონაცემებზე წვდომის უფლება“), რადგან მონაცემთა სუბიექტის მოთხოვნის საფუძველზე მას არ მიაწოდეს სრული ინფორმაცია პლატფორმა “365 Education”-ის მეშვეობით მისი პერსონალური მონაცემების დამუშავების შესახებ;
• საჯარო სკოლამ და განათლების სამინისტრომ ასევე დაარღვიეს “GDPR”-ის მე-13 მუხლი („მონაცემთა სუბიექტისთვის ინფორმაციის მიწოდება მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში“), ვინაიდან მონაცემთა უშუალოდ მოსწავლეებისგან შეგროვებისას მათ არ მიაწოდეს ინფორმაცია, რა მონაცემები გროვდებოდა, რომელ “Cookies” იყენებდა პლატფორმა, ვინ იყო მონაცემთა მიმღები და სხვა;
• “Microsoft”-მა, როგორც დამოუკიდებელმა დამუშავებისთვის პასუხისმგებელმა პირმა, დაარღვია “GDPR”-ის მე-15 მუხლი, ვინაიდან უარი თქვა მონაცემთა სუბიექტისთვის სრული და გასაგები ინფორმაციის მიწოდებაზე, თუ მისი რომელი მონაცემი მუშავდებოდა, რა მიზნით და რა საფუძვლით.

საზედამხედველო ორგანომ ასევე დაადგინა, რომ არასავალდებულო “Cookies” პლატფორმას აძლევდა შესაძლებლობას დამატებით დაემუშავებინა ის მონაცემები, რომლებიც არ იყო აუცილებელი მისი ფუნქციონირებისთვის და გამოიყენებოდა, მაგალითად, სარეკლამო მიზნებისთვის. არასავალდებულო “Cookies” გამოყენებისთვის აუცილებელია მონაცემთა სუბიექტის თანხმობა. შესაბამისად, “DSB”-მ დაადგინა, რომ წინასწარი ინფორმირებული თანხმობის გარეშე „მზა ჩანაწერების“ გამოყენება არღვევდა „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 („დამუშავების პრინციპები“) და მე-6 („დამუშავების კანონიერება“) მუხლებს.

საზედამხედველო ორგანომ ხაზი გაუსვა, რომ სკოლასა და სამინისტროს არ შეეძლოთ ვალდებულებების თავიდან არიდება არგუმენტით, რომ სრულყოფილ ინფორმაციას ფლობდა მხოლოდ კომპანია “Microsoft”.

 გადაწყვეტილება

ზემოაღნიშნულის გათვალისწინებით, ავსტრიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა მონაცემთა დაცვის ზოგადი რეგულაციის მე-5, მე-6, მე-13 და მე-15 მუხლების დარღვევა. შედეგად, ორგანომ გასცა შემდეგი სავალდებულო მითითებები:

• საჯარო სკოლასა და განათლების სამინისტროს დაევალათ, 10 კვირის ვადაში უზრუნველეყოთ მოსწავლის სრული წვდომა მის პერსონალურ მონაცემებზე;
• “Microsoft”-ს დაევალა 4 კვირის ვადაში მოემზადებინა ინდივიდუალური ანგარიშგება, რომელშიც განმარტებული იქნებოდა, რა ტიპის მონაცემებს აგროვებდა კომპანია და რა მიზნით;
• “Microsoft”-ს, საჯარო სკოლასა და განათლების სამინისტროს დაევალათ, არასავალდებულო „მზა-ჩანაწერების“ მიერ დამუშავებული პერსონალური მონაცემების წაშლა.

ავსტრიის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მკაფიო გზავნილს შეიცავს - ციფრულ განათლებაში პერსონალურ მონაცემთა დაცვაზე პასუხისმგებლობა ვერ დაეკისრება მხოლოდ დიდ ტექნოლოგიურ კომპანიებს. როგორც საჯარო დაწესებულებებმა, ისე კერძო მომსახურების მიმწოდებლებმა უნდა უზრუნველყონ, რომ მონაცემთა სუბიექტები სრულად იყვნენ ინფორმირებულნი მათი მონაცემების დამუშავების პროცესის შესახებ და შეძლონ მონაცემებზე წვდომის უფლების ეფექტიანი განხორციელება.