2024-08-14
გადაწყვეტილება კომპანიის მიერ მონაცემთა სუბიექტის ინფორმირების წესების დარღვევასთან დაკავშირებით
პერსონალურ მონაცემთა დაცვის სამსახურს განცხადებით მომართა ერთ-ერთმა პირმა და მოითხოვა კონკრეტული კომპანიის მიერ მისი პერსონალური მონაცემების დამუშავების კანონიერების შესწავლა და მისი, როგორც მონაცემთა სუბიექტის, ინფორმირების წესების დარღვევაზე რეაგირება.
განმცხადებლის განმარტებით, მან კომპანიისაგან მოითხოვა მისი მონაცემების (მათ შორის, საკრედიტო „რეპორტისა“ და საკრედიტო ქულის) დამუშავების თაობაზე „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-13 მუხლით განსაზღვრული ინფორმაცია, რაც კომპანიამ სრულყოფილად არ მიაწოდა.
საქმისწარმოების ფარგლებში, კომპანიის წარმომადგენელმა განმარტა, რომ კომპანია მონაცემთა სუბიექტს აწვდის ინფორმაციას მის მიერ კომპანიისგან საკრედიტო „რეპორტის“ ან/და საკრედიტო ქულის შესახებ ინფორმაციის გამოთხოვის შესაძლებლობის თაობაზე. აღნიშნული მოთხოვნა კომპანიას შეიძლება წარედგინოს როგორც წერილობით, ასევე, ზეპირად, სათანადო იდენტიფიკაციის/ვერიფიკაციის პროცედურის გავლის საფუძველზე, ელექტრონული ფოსტის ან ფოსტის საშუალებით გაგზავნილი განცხადებით, ასევე, ტელეფონით ან კომპანიის პორტალის საშუალებით. კომპანიის წარმომადგენლის განმარტებით, ზემოაღნიშნული ინფორმაციის მიღების გზების თაობაზე მონაცემთა სუბიექტს შეუძლია ნებისმიერი ინფორმაცია მიიღოს კომპანიის ვებგვერდების მეშვეობით. ამასთან, კომპანიის მიერ პორტალის საშუალებით, საკრედიტო „რეპორტის“ და საკრედიტო ქულის შესახებ ინფორმაციის გაცემისათვის დადგენილია შესაბამისი საფასური (საკრედიტო „რეპორტთან“ მიმართებით, საქართველოს ეროვნული ბანკის რეგულაციიდან გამომდინარე, მოქმედებს კომპანიის მიერ მონაცემთა სუბიექტისათვის წელიწადში სამჯერ უფასოდ გაცემის ვალდებულება). თუ მონაცემთა სუბიექტი წერილობით, ზეპირად, სატელეფონო კომუნიკაციის, ელექტრონული ფოსტის ან ფოსტის საშუალებით მიმართავს კომპანიას და მოითხოვს მისი საკრედიტო ისტორიის (საკრედიტო „რეპორტის“) შესახებ ინფორმაციასა და საკრედიტო ქულას, კომპანია იმოქმედებს კანონის მე-13 მუხლის შესაბამისად და დაინტერესებულ პირს ყოველგვარი საფასურის გარეშე მიაწვდის მოთხოვნილ ინფორმაციას.
განცხადების განხილვის ფარგლებში დადგინდა, რომ ერთმანეთთან თანხვედრაში არ იყო კომპანიის წარმომადგენლის განმარტება, კომპანიისაგან ინფორმაციის გამოთხოვის, მონაცემთა სუბიექტისათვის განკუთვნილი საშუალებების შესახებ და ვებგვერდზე არსებული ინფორმაცია. კომპანიის წარმომადგენელი, ერთი მხრივ, განმარტების სახით მიუთითებდა, კომპანიისაგან ინფორმაციის (მათ შორის, საკრედიტო „რეპორტის“ და საკრედიტო ქულის შესახებ) გამოთხოვის საშუალებებზე, მაგრამ, მეორე მხრივ, ვებგვერდზე არსებული ინფორმაცია ეხებოდა „პრეტენზიების ეფექტურ და დროულ მართვას“, კომპანიის „საქმიანობაში არსებული ხარვეზების გამოვლენას“ და „მომხმარებლის უფლებას, დააფიქსიროს პრეტენზია“ სხვადასხვა ფორმით. მსგავს შემთხევებში, ერთია მონაცემთა სუბიექტის მიერ კომპანიისაგან ინფორმაციის მოთხოვნა, ხოლო მეორეა, ამავე სუბიექტის მიერ „პრეტენზიის“, ერთგვარი უკმაყოფილების დაფიქსირება კომპანიის მიერ განხორციელებულ ქმედებაზე. აქედან გამომდინარე, სამსახურმა მიიჩნია, რომ მონაცემთა სუბიექტისათვის „პრეტენზიის“ რეალიზების გზების შესახებ ინფორმაციის მიწოდება ვერ ჩაითვლებოდა მისთვის მის შესახებ მონაცემების გამოთხოვის გზების შესახებ ინფორმაციის მიწოდებად.
ამასთან, ინფორმაცია, რითაც დადასტურდებოდა, რომ მონაცემთა სუბიექტი კომპანიის მიერ ინფორმირებულია ზემოაღნიშნულის შესახებ, არც კომპანიის პორტალსა და არც ვებგვერდზე იყო განთავსებული. აღნიშნულის დამადასტურებელი მტკიცებულებები არც კომპანიის წარმომადგენელს მოუწოდებია, გარდა მისი განმარტებისა. აღნიშნულის საპირისპიროდ, როგორც კომპანიის ვებგვერდზე, ასევე, პორტალზე დომინირებდა ინფორმაცია პორტალის საშუალებით უფასო და ფასიანი პაკეტებით სარგებლობის, საკრედიტო „რეპორტის“ და საკრედიტო ქულის შესახებ ინფორმაციის მიღების თაობაზე და ა.შ. კომპანია საჯაროდ არ უზრუნველყოფდა მონაცემთა სუბიექტის ინფორმირებას იმის თაობაზე, რომ არსებობდა კომპანიის მიერ პორტალის საშუალებით შეთავაზებული ფასიანი პაკეტით გათვალისწინებული სერვისის უფასოდ მიღების შესაძლებლობის ალტერნატიული გზები. მონაცემთა სუბიექტისათვის კანონით მინიჭებული უფლებების რეალიზებისათვის კი მნიშვნელოვანია კომპანიის მიერ მისი ინფორმირება, რათა შემდეგ სუბიექტმა გააზრებული გადაწყვეტილება მიიღოს მისი მონაცემების შესახებ ინფორმაციის გამოთხოვის თაობაზე.
ხაზგასასმელია, რომ გარდა მონაცემთა სუბიექტისათვის მისაწოდებელი ინფორმაციის შინაარსისა, მნიშვნელოვანია ამ ინფორმაციის მიწოდების ფორმა. ხშირ შემთხვევებში, ასეთ ინფორმაციას შეიცავს დოკუმენტები, რომლებსაც უწოდებენ მონაცემთა დაცვის შესახებ შეტყობინებას, კონფიდენციალურობის პოლიტიკას და ა.შ. „GDPR“-ი არ ითვალისწინებს ამ ინფორმაციის მონაცემთა სუბიექტისათვის მიწოდების კონკრეტულ ფორმატს, თუმცა, მასში მკაფიოდ არის მითითებული, რომ დამუშავებისათვის პასუხისმგებელ პირს ევალება „სათანადო ზომების“ მიღება გამჭვირვალობისთვის საჭირო ინფორმაციის უზრუნველყოფის კუთხით. კერძოდ, დამუშავებისთვის პასუხისმგებელმა პირმა უნდა გაითვალისწინოს მონაცემთა დამუშავებასთან დაკავშირებული ყველა გარემოება და ისე მიიღოს გადაწყვეტილება მონაცემთა სუბიექტისათვის ინფორმაციის შესაფერისი ფორმატით მიწოდების უზრუნველყოფის თაობაზე. შესაბამისად, სამსახურმა მიიჩნია, რომ კომპანიის მიერ მონაცემთა სუბიექტისათვის ინფორმაციის საფასურის გადახდის გარეშე მიღების მექანიზმის არსებობა, ამის შესახებ ამავე სუბიექტის ინფორმირების გარეშე, ზღუდავს გამჭვირვალობის პრინციპის პრაქტიკულ ქმედითობას და ხელს უშლის მონაცემთა დაცვის უფლების რეალიზებას.
გამჭვირვალობის პრინციპი დამუშავებისათვის პასუხისმგებელი პირისაგან მოითხოვს, რომ მონაცემთა სუბიექტისათვის განკუთვნილი ინფორმაცია იყოს „გასაგები“, რაც ნიშნავს იმას, რომ ინფორმაციის გაგება უნდა შეეძლოს სამიზნე აუდიტორიის „საშუალო“ სტატისტიკურ წევრს, ხოლო გასაგები არის თუ არა ინფორმაცია მჭიდროდ არის დაკავშირებული მკაფიო და მარტივი ენის გამოყენების მოთხოვნასთან.
განცხადების განხილვის ფარგლებში, სამსახურმა დაადგინა, რომ კომპანიის მიერ მონაცემთა დამუშავების პროცესში მონაცემთა სუბიექტებისათვის არ იყო უზრუნველყოფილი გამჭვირვალობის პრინციპის მოთხოვნები, რაც ეწინააღმდეგებოდა კანონის მე-4 მუხლით დადგენილ რეგულაციას და წარმოადგენდა ამავე კანონის 66-ე მუხლით გათვალისწინებულ ადმინისტრაციულ სამართალდარღვევას და ადმინისტრაციული პასუხისმგებლობის დაკისრების საფუძველს.
აღნიშნულის გათვალისწინებით, კომპანიას დაევალა:
- პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის მე-4 მუხლით გათვალისწინებული გამჭვირვალობის პრინციპის მოთხოვნების დაცვით, სრულყოფილად უზრუნველყოს ვებგვერდისა და პორტალის საშუალებით, მონაცემთა სუბიექტების ინფორმირება კომპანიის მიერ მონაცემთა სუბიექტების მონაცემების დამუშავების შესახებ ინფორმაციის (მათ შორის, საკრედიტო „რეპორტისა“ და საკრედიტო ქულის) გამოთხოვის საშუალებების თაობაზე. ამასთან, კომპანიამ მონაცემთა სუბიექტების მონაცემების დამუშავების შესახებ ინფორმაციის გამოთხოვის საშუალებებთან მიმართებით, მონაცემთა სუბიექტისათვის მარტივად აღსაქმელი ფორმით უნდა უზრუნველყოს საფასურით და საფასურის გარეშე ინფორმაციის მიღების შესაძლებლობის ალტერნატიული გზების შეთავაზება;
- მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში, მაქსიმალურად სრულყოფილად მიაწოდოს მონაცემთა სუბიექტს მისი მონაცემების დამუშავების თაობაზე ინფორმაცია, მათ შორის, შესაბამისი ბმულების (ასეთის საჭიროების შემთხვევაში), განმარტებებისა და დამატებითი მითითებების გზით.