2024-09-13

გადაწყვეტილება ინციდენტის შესახებ

---

პერსონალურ მონაცემთა დაცვის სამსახურში წარმოდგენილი ინფორმაციის საფუძველზე შესწავლილ იქნა გენეტიკურ მუტაციებზე ჩატარებული ანალიზების სახელმწიფო შესყიდვების საჯარო ვებგვერდზე განთავსებით გამჟღავნების კანონიერება და  სავარაუდო ინციდენტის შესახებ სამსახურისათვის შეტყობინების ვალდებულების საკითხი.

შესწავლის დაწყებისთანავე ცხადი იყო, რომ გასაჯაროებული დოკუმენტი შეიცავდა 200-მდე  ფიზიკური პირის სახელს, გვარს, პირად ნომერს, ჩატარებული სამედიცინო კვლევების დასახელებას და თარიღს. სახელმწიფო შესყიდვის ობიექტს წარმოადგენდა სამედიცინო - მოლეკულური კვლევების თაობაზე მომსახურების შესყიდვა. დოკუმენტში მითითებული კვლევები ტარდებოდა სხვადასხვა დიაგნოზის მქონე ონკოლოგიურ პაციენტებში, სათანადო მკურნალობის შერჩევის მიზნით. პლატფორმა, სადაც დოკუმენტი გასაჯაროვდა - სახელმწიფო შესყიდვების პორტალი, უზრუნველყოფს საჯარო დაწესებულებების მიერ შესყიდვების განხორციელებას ღია და გამჭვირვალე ელექტრონული ტენდერების მეშვეობით. პორტალის ადმინისტრირებას ახორციელებს სსიპ - სახელმწიფო შესყიდვების სააგენტო. ამასთან, შემსყიდველი ორგანიზაცია განსაზღვრავს ტენდერში წარსადგენი დოკუმენტების ნუსხას, ხოლო მონაწილე ორგანიზაცია - პრეტენდენტი შესაბამის დოკუმენტებს სისტემაში ტვირთავს დამოუკიდებლად. საყურადღებოა,  რომ ელექტრონულ ტენდერთან დაკავშირებით სისტემაში განთავსებული ინფორმაცია საჯაროა, ხოლო პრეტენდენტს მათი წაშლის შესაძლებლობა არ აქვს.

შემცირების მიზნით დოკუმენტში მითითებული ფიზიკური პირების ზიანის შესწავლის დასრულებამდე, სამსახურმა დაბლოკა მათი მონაცემები, ამის შედეგად, საჯარო ვებგვერდის ვიზიტორებს დოკუმენტში ასახულ ჯანმრთელობასთან დაკავშირებულ მონაცემებზე წვდომა შეეზღუდათ.

მოკვლევის შედეგად დადგინდა, რომ პაციენტების პერსონალური მონაცემების შემცველი დოკუმენტი არ წარმოადგენდა სატენდერო დოკუმენტაციის ნაწილს და ის სისტემაში შეცდომით ატვირთა პრეტენდენტი კომპანიის ერთ-ერთი თანამშრომელმა. რაც შეეხება შეცდომის გამომწვევ მიზეზებს - კომპანიამ ელექტრონულ ტენდერებთან დაკავშირებული დოკუმენტების სისტემაში ატვირთვა დაავალა იმ პირს, რომელსაც სახელმწიფო შესყიდვების მიმართულებით გამოცდილება არ ჰქონდა და არც რაიმე სახის კვალიფიკაციის ასამაღლებელი ტრენინგი/კურსი ჰქონდა გავლილი. იგი ასევე არ იყო ინფორმირებული სისტემაში განთავსებული მონაცემების საჯარო ბუნებაზე და მისი ფუნქციონირების ზოგად და საბაზისო პრინციპებზე.

სამსახურმა ყურადღება გაამახვილა იმ გარემოებაზე, რომ ტენდერში მონაწილე ორგანიზაცია, ასევე, ელექტრონულ ტენდერებზე პასუხისმგებელი პირი სრულად უნდა აცნობიერებდეს შესყიდვების პროცესში მონაცემების დამუშავების სპეციფიკასა და შესაძლო რისკებს. ეს საკითხი მით უფრო აქტუალურია, როდესაც პრეტენდენტი სამედიცინო დაწესებულებაა, სადაც თავს იყრის დიდი რაოდენობის ფიზიკურ პირთა შესახებ  ჯანმრთელობასთან დაკავშირებული სხვადასხვა შინაარსის მონაცემები. სწორედ დამუშავებისთვის პასუხისმგებელი პირია ვალდებული, მათ შორის, საკადრო ცვლილებების შემთხვევაში გაითვალისწინოს თანამშრომლების გამოცდილებიდან მომდინარე საფრთხეები და მიიღოს ადეკვატური ზომები მონაცემთა უსაფრთხოების უზრუნველსაყოფად. ამასთან, ელექტრონული ტენდერის ფარგლებში, სისტემაში მონაცემების ატვირთვისას მნიშვნელოვანია სათანადო სიფრთხილის გამოჩენა, ვინაიდან ინფორმაცია/დოკუმენტაცია პირთა განუსაზღვრელი წრისთვის ხდება ხელმისაწვდომი, ხოლო ტენდერში მონაწილე პირს აღარ აქვს შესაძლებლობა შეცვალოს, დაამატოს ან წაშალოს ტექნიკური დოკუმენტაცია.

ამდენად, სამსახურის შეფასებით, კომპანიის მიერ მონაცემთა უსაფრთხოების დასაცავად არ იქნა მიღებული სათანადო ორგანიზაციულ-ტექნიკური ზომები, რაც გამოიხატა არაკომპეტენტური კადრისთვის მნიშვნელოვანი ფუნქციების სათანადო მომზადების გარეშე დაკისრებაში, რამაც, თავის მხრივ, პაციენტების მონაცემების საჯაროდ გამოქვეყნება გამოიწვია. შესაბამისად, კომპანიის მიერ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლის მოთხოვნების დარღვევის ფაქტზე შედგენილი იქნა ადმინისტრაციული სამართალდარღვევის ოქმი.

გარდა ამისა, კომპანიის თანამშრომლის მიერ ზემოაღნიშნული დოკუმენტის შემთხვევით უკანონოდ გასაჯაროების ფაქტი მიჩნეული იქნა როგორც „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული ინციდენტი. დამუშავებისთვის პასუხისმგებელ პირს ინციდენტისას წარმოეშობა სპეციფიკური ვალდებულებები. კერძოდ, იმ შემთხვევაში, თუ ინციდენტი საშუალო ან მაღალი ალბათობით მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დაწესებულებამ ეს ფაქტი უნდა შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, ხოლო თუ ხსენებული ალბათობა მაღალია, სამსახურის გარდა, უნდა ეცნობოს თავად მონაცემთა სუბიექტსაც.

განხილვის ფარგლებში გამოვლინდა, რომ კომპანიამ პაციენტების პერსონალური მონაცემების შემცველი დოკუმენტის საჯაროდ გამოქვეყნება მართებულად მიიჩნია ინციდენტად და შექმნა ინციდენტის შესახებ ოქმი. თუმცა  მის გამოვლენასთან ერთად პრეტენდენტს არ შეუფასებია ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა და სიმძიმე. ამასთან, კომპანიას არც სამსახურისთვის შეუტყობინებია ინციდენტის თაობაზე. ამის სანაცვლოდ, ის საკუთარი ძალებით ეცადა პრობლემის მოგვარებას, თუმცა უშედეგოდ.  შემდგომ კი სსიპ - სახელმწიფო შესყიდვების სააგენტოს აცნობა დოკუმენტის არასწორად ატვირთვის ფაქტი და მასზე წვდომის შეზღუდვა/წაშლა სთხოვა.

სამსახურის უფროსის ნორმატიული აქტით “ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმებისა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესის დამტკიცების შესახებ” (2024 წლის 28 თებერვლის №19 ბრძანებით) დამტკიცებული კრიტერიუმების შესაბამისად პერსონალურ მონაცემთა დაცვის სამსახურმა შეაფასა ინციდენტის სახე და სიმძიმე. მიჩნეულ იქნა, რომ რამდენადაც საჯაროდ ხელმისაწვდომ ვებგვერდზე მონაცემები იდენტიფიცირებადი ფორმით გამოქვეყნდა, დაირღვა მონაცემთა კონფიდენციალურობა. ამასთან, ადამიანის უფლებებისა და თავისუფლებებისათვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა შეფასებული იქნა როგორც - საშუალო. შეფასებისას მხედველობაში იქნა მიღებული მონაცემთა სუბიექტების ოდენობა - 200-მდე ფიზიკური პირი. მონაცემების ხასიათი - გასაჯაროებული ანალიზების შინაარსი მიუთითებდა იმაზე, რომ საკვლევ პირებს ჰქონდათ სიმსივნე და იყვნენ მკურნალობის მეთოდის შერჩევის რეჟიმში. ამასთან დადგინდა, რომ დოკუმენტი ნანახი იყო დაახლოებით 70-ჯერ.  გათვალისწინებული იქნა ისიც, რომ ინციდენტი აღმოჩენილი იქნა სისტემაში დოკუმენტის გასაჯაროებიდან მოკლე ვადაში, ხოლო დოკუმენტის სახელწოდება იმგვარი იყო, რომ ნაკლებად მიანიშნებდა მასში პერსონალური მონაცემების არსებობაზე.

ამასთან, გამოვლინდა, რომ ვინაიდან სსიპ - სახელმწიფო შესყიდვების სააგენტომ ფაქტის შესახებ სამსახურს აცნობა, კომპანია ინციდენტის შესახებ სამსახურისთვის შეტყობინების ვალდებულებას შესრულებულად მიიჩნევდა. აღნიშნული პოზიცია სამსახურმა არ გაიზიარა. მიღებულ გადაწყვეტილებაში ხაზი გაესვა, რომ სააგენტოს მიერ სამსახურში ინფორმაციის წარმოდგენა არ და ვერ ჩაანაცვლებდა დამუშავებისთვის პასუხისმგებელი პირის მიერ კანონითა და ნორმატიული წესით განსაზღვრული ფორმისა და შინაარსის მქონე ინფორმაციის საზედამხედველო ორგანოსთვის მოწოდების საჭიროებას. სააგენტოს სამსახურისთვის არ უცნობებია და ობიექტურადაც ვერ შეძლებდა, რომ განემარტა ინციდენტთან დაკავშირებული მნიშვნელოვანი საკითხები, მაგალითად: რა გარემოებებმა გამოიწვია ინციდენტი, როდის იქნა აღმოჩენილი, შეეხებოდა თუ არა არასრულწლოვანებს და სხვა. სამსახურისთვის ინციდენტის შეტყობინების პროცესი არ არის ფორმალური. მონაცემთა დაცვის საზედამხედველო ორგანოს, საკუთარი მანდატის ფარგლებში, აქვს ისეთი ეფექტიანი მექანიზმების (მაგალითად: დაბლოკვის) გამოყენების უფლებამოსილება, რომლითაც შესაძლოა არსებითად შემსუბუქდეს ინციდენტის შედეგები.

შესაბამისად, საკითხის შესწავლის შედეგად გამოვლინდა მეორე სამართალდარღვევაც - კომპანიამ კანონის 29-ე მუხლის შესაბამისად ვერ უზრუნველყო ადამიანის უფლებებისთვის საშუალო საფრთხის შემცველი ინციდენტის შესახებ სამსახურისთვის შეტყობინების ვალდებულების შესრულება, რის გამოც მას შეეფარდა ჯარიმა 3500 (სამი ათას ხუთასი) ლარის ოდენობით. ამასთან სააგენტოს, როგორც შესყიდვების ელექტრონული სისტემის ფუნქციონირებაზე პასუხისმგებელ დაწესებულებას, დაევალა დოკუმენტის სისტემიდან წაშლა.