2023-04-05

პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება ერთ-ერთი სამინისტროს მიერ თანამშრომლების კომპიუტერული აქტივობების შესახებ მონაცემების დამუშავების კანონიერებასთან დაკავშირებით

---

პერსონალურ მონაცემთა დაცვის სამსახურმა, ანონიმური შეტყობინების საფუძველზე ერთ-ერთ სამინისტროში არაგეგმური შემოწმება ჩაატარა. შესწავლის ფარგლებში დადგინდა, რომ სამინისტროს და მის სისტემაში შემავალი 10-ზე მეტი იურიდიულ პირის თანამშრომლების 3000-მდე კომპიუტერზე გააქტიურებული იყო სპეციალური ტექნიკური მხარდაჭერის პროგრამა, რომელიც IT მოთხოვნის, სამსახურიდან დროებითი დათხოვნის და საშვის მოთხოვნის გასაგზავნად გამოიყენებოდა, თუმცა ამავდროულად აგროვებდა სამინისტროს სისტემაში დასაქმებული პირების მიერ კომპიუტერების საშუალებით განხორციელებული ქმედებების თაობაზე დეტალურ ინფორმაციას. შეგროვებული მონაცემები მოიცავდა დასაქმებულების მიერ კომპიუტერში გამოყენებული ელექტრონული პროგრამების (მაგალითად: „Opera“, „Google Chrome“, „Pdf“, „Word“, „Exel“) დასახელებას, აღნიშნული პროგრამების გამოყენების პერიოდს, პროგრამებში გახსნილი აქტიური ფანჯრების (ე.წ „Tab“) დასახელებას (რაც გულისხმობდა მაგალითად ვებგვერდის სათაურზე წვდომის და ამ ვებგვერდზე განთავსებული ინფორმაციის მარტივად გაცნობის შესაძლებლობასაც) და სხვა. ასევე, სამინისტროს შემუშავებული ჰქონდა სპეციალური სიტყვები (მაგალითად, „facebook“, „porn“), აღნიშნული სიტყვების ნებისმიერი პროგრამის (მაგალითად, „Google chrome“, „Mozilla Firefox“, „Internet Explorer“ და ა.შ.) აქტიურ ფანჯარაში აღმოჩენის შემთხვევაში კი შესაბამისი საკვანძო სიტყვის გამოყენების პერიოდები ჯამდებოდა. შედეგად, თითოეული თანამშრომლის შესახებ გროვდებოდა ინფორმაცია მის მიერ გამოყენებულ კომპიუტერულ პროგრამებთან, დათვალიერებულ ვებგვერდებთან და ამ გვერდების შინაარსთან დაკავშირებით. შემოწმების შედეგად ასევე გამოვლინდა, რომ ტექნიკური მხარდაჭერის პროგრამაში ჩართული თითოეული თანამშრომლისათვის, სპეციალური ვებგვერდის საშუალებით ხელმისაწვდომი იყო მის მიერ ბოლო 60 დღის მანძილზე განხორციელებული აქტივობების შესახებ სტატისტიკური ინფორმაცია, კერძოდ - თანამშრომლის მიერ ყველაზე ხანგრძლივად გამოყენებული 15  პროგრამის (მაგ.: „Excel“, „Teamviewer“, „Photoshop“, „Powerpoint“ და სხვა) და საკვანძო სიტყვის (მაგ.: „Facebook“, „Eflow“, „eDocument“ და სხვა) ჩამონათვალი, გამოყენების ხანგრძლივობების შესაბამისი პროცენტული მაჩვენებლების მითითებით. ტექნიკური მხარდაჭერის პროგრამის საშუალებით შესაბამისი უწყების მასშტაბით შეგროვებული დეტალური ინფორმაცია კი ხელმისაწვდომი იყო სამინისტროს სისტემაში შემავალი დაწესებულებების (მათ შორის HR დეპარტამენტების) 30-მდე თანამშრომლისთვის. სამსახურმა გამოარკვია, რომ ზემოაღნიშნულ პროცესში დამუშავებულ მონაცემებს შრომითი საქმიანობის ფარგლებში თანამშრომელთა მონიტორინგის მიზნით იყენებდა ერთ-ერთი დეპარტამენტი (მაგალითად, დეპარტამენტის უფროსი მივლინების დროს აკონტროლებდა თავისი თანამშრომლების აქტივობებს), ასევე, სამინისტროს განმარტებით, პროგრამის საშუალებით მოპოვებული მონაცემები  დასაქმებულებისთვის წარმოადგენდა საკუთარი დროის თვითმონიტორინგის (იმის დადგენის, თუ რა დროს უთმობდნენ საქმეს და რა დროს - სხვა საკითხებს) საშუალებას, გარდა ამისა, მისი ფუნქციონირება განპირობებული იყო სამინისტროს ინფორმაციული უსაფრთხოების მიზნებითაც. საქმეში დასახელებულ მიზნებთან მონაცემთა დამუშავების პროცესის თავსებადობის შემოწმებისას კი გამოირკვა, რომ პრაქტიკაში სამინისტროს შესაბამისი მენეჯერები შეგროვებულ მონაცემებს არ იყენებდნენ, გარდა სამინისტროს ინფორმაციული ტექნოლოგიების დეპარტამენტის ხელმძღვანელისა. ასევე, თანამშრომლები არ იყვნენ ან არასათანადოდ იყვნენ ინფორმირებულნი ტექნიკური მხარდაჭერის პროგრამის საშუალებით მათი, მათ შორის, ხსენებული ინფორმაციის სტატისტიკური სახით ხელმისაწვდომობის თაობაზე. გარდა ამისა, მოპოვებული მონაცემების ნაწილი არ იყო საჭირო სამინისტროს ინფორმაციული უსაფრთხოებისთვის. საკითხის შეფასებისას სამსახურმა იხელმძღვანელა, მათ შორის, დასაქმებულ პირთა მონაცემების დამუშავებასთან დაკავშირებით ადამიანის უფლებათა ევროპული სასამართლოს რამდენიმე გადაწყვეტილებებით ((Copland v. UK (No. 62617/00; 03.04.2007); ANTOVIĆ AND MIRKOVIĆ v. MONTENEGRO (No. 70838/13; 28.11.2017) და BĂRBULESCU v. ROMANIA ( No. 61496/08; 05.09.2017)) და დაადგინა, რომ:

• სამინისტროს მიერ ტექნიკური მხარდაჭერის პროგრამის მეშვეობით დამუშავებული მონაცემების ნაწილი შესაძლოა შეიცავდეს ადამიანის არა სამსახურებრივ, არამედ პირად/პრივატულ ინფორმაციას, ვინაიდან სამსახურეობრივი საქმიანობის პროცესშიც არსებობს სხვა ადამიანებთან ურთიერთობის ისეთი ზონა, რომელიც მისი პირადი ცხოვრების ნაწილად უნდა იქნეს მოაზრებული. იმ პირობებში, როდესაც სამსახურებრივი მონიტორინგის მიზნების მიღწევა პირადი ცხოვრების უფლებაში ნაკლები ჩარევის გზითაც შესაძლებელია (მაგალითად, უშუალო ხელმძღვანელის მიერ თანამშრომელთან კომუნიკაციით, ან პერიოდული (მაგალითად, ყოველკვირეული) ზეპირი ან წერილობითი ანგარიშის წარდგენის პროცედურის დანერგვით, მივლინებების დროს მენეჯერული მოვალეობის სხვა შესაბამის თანამშრომელზე დელეგირების გზით და სხვა) თანამშრომლების პერსონალური მონაცემების მითითებული ფორმით მოპოვება და დამუშავება არ იქნა მიჩნეული თანამშრომელთა სამსახურებრივი მონიტორინგის მიზნის მიღწევის თანაზომიერ საშუალებად;
• ტექნიკური მხარდაჭერის პროგრამის საშუალებით შეგროვებული მონაცემების თანამშრომელთა თვითმონიტორინგის მიზნით დამუშავება არ ეფუძნებოდა აღნიშნულ პირთა სურვილსა და ნებას, არ იყვნენ ჯეროვნად ინფორმირებულნი და დასახელებული შესაძლებლობით აქტიურად არც სარგებლობდნენ. სამსახურის შეფასებით, თანამშრომელთა სათანადოდ ინფორმირების პირობებშიც კი მოპოვებული კომპიუტერული მონაცემების გამოყენებით სამუშაო დროის უკეთ ორგანიზება მხოლოდ დასაქმებულის ნებაზე იქნებოდა დამოკიდებული. შესაბამისად, თვითმონიტორინგის მიზნით ტექნიკური მხარდაჭერის პროგრამის საშუალებით კომპიუტერული აქტივობების შესახებ მონაცემების მოპოვება და შემდგომი დამუშავება მხოლოდ დასაქმებულების სურვილის, ინიციატივის საფუძველზე შეიძლებოდა განხორციელებულიყო;
• რაც შეეხება ინფორმაციული უსაფრთხოების მიზნით მონაცემების მოპოვებას, დადგინდა, რომ სამინისტრო იყო კრიტიკული ინფრასტრუქტურის პირველი ხარისხის სუბიექტი, ის იყენებდა რამდენიმე სახის და სხვადასხვა დონის ლიცენზირებულ თანამედროვე მოწყობილობებს და პროგრამულ უზრუნველყოფას. შესაბამისად, სადავო პროგრამით მოპოვებული მონაცემები იშვიათად იქნებოდა გამოსადეგი ინფორმაციული უსაფრთხოების მიზნების მისაღწევად, რის გამოც, ამ გზით თანამშრომლების სამუშაო კომპიუტერებიდან მონაცემები მხოლოდ მინიმალური მოცულობით უნდა შეგროვებულიყო, ხოლო აღრიცხულ ინფორმაციაზე წვდომები მაქსიმალურად შეზღუდულიყო.

პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილებით დადგინდა, რომ სამინისტროს იდენტიფიცირებული ჰქონდა მონაცემთა დამუშავების რამდენიმე (თანამშრომელთა თვითმონიტორინგის და ინფორმაციული უსაფრთხოების) მიზანი, თუმცა თანამშრომელთა სურვილის და ინიციატივის, ამასთან, მათი ინფორმირების გარეშე გამოვლენილი მოცულობის მონაცემების დამუშავება თვითმონიტორინგის მიზნით გაუმართლებელი იყო, ინფორმაციული უსაფრთხოების მიზნებისთვის კი სამინისტროს მიერ მიღებული ორგანიზაციულ-ტექნიკური ზომები მონაცემების უკანონო მოპოვების რისკებს ქმნიდა. აღნიშნული მიუთითებდა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლის (მონაცემების უსაფრთხოება) დარღვევაზე, რის გამოც  სამინისტრო სამართალდამრღვევად იქნა ცნობილი, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 46-ე მუხლით გათვალისწინებული სამართალდარღვევისთვის. ამასთან, ტექნიკური მხარდაჭერის პროგრამის მეშვეობით მონაცემთა დამუშავების პროცესის კომპლექსურობის გათვალისწინებით, სამინისტროს მიეცა შესასრულებლად სავალდებულო დავალებები, მათ შორის, დაევალა აღნიშნული პროგრამული საშუალებით სამინისტროს თანამშრომელთა მონიტორინგის/თვითმონიტორინგის მიზნით მონაცემების დამუშავების შეწყვეტა და უკვე დამუშავებული მონაცემების წაშლა.