2024-10-10

გადაწყვეტილება შეზღუდული შესაძლებლობის მქონე პირთა პერსონალური მონაცემების დაცვის შესახებ

---

„პერსონალურ მონაცემთა დამუშავების კანონიერების გეგმური შემოწმებების (ინსპექტირება) 2024 წლის გეგმის დამტკიცების შესახებ“ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის 2024 წლის 18 იანვრის №ბ/0046–2024 ბრძანებით დამტკიცებული დანართი №1-ის მიხედვით, 2024 წლის გეგმის მიზნობრივ ჯგუფად მათ შორის განსაზღვრულია შეზღუდული შესაძლებლობის მქონე (შემდგომში - შშმ) პირების მონაცემების დამუშავების კანონიერების კონტროლი. ამავე ბრძანების დანართი №2-ის თანახმად კი, 2024 წლის გეგმის ფარგლებში, გათვალისწინებულ იქნა 2 (ორი) საჯარო რესურსსკოლის შემოწმება. აღსანიშნავია, რომ რესურსსკოლებში სწავლობენ მძიმე და ღრმა ინტელექტუალური შეზღუდვის მქონე მოსწავლეები და საგანმანათლებლო პროცესის ორგანიზება ხდება ინდივიდუალური სასწავლო გეგმების შესაბამისად.

ზემოაღნიშნულიდან გამომდინარე, სამსახურმა მოსწავლეებისთვის საგანმანათლებლო მომსახურების გაწევის პროცესში დამუშავებული მონაცემების დიდი მოცულობისა და მონაცემთა სუბიექტების კატეგორიების (შშმ და სპეციალური საგანმანათლებლო საჭიროების მქონე არასრულწლოვნები (სსსმ)), ასევე, მონაცემთა კანონდარღვევით დამუშავების რისკების გათვალისწინებით, გეგმურად შეისწავლა ორი საჯარო რესურსსკოლის მიერ ინდივიდუალური სასწავლო გეგმების შექმნისა და შენახვის გზით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება.

ხაზგასასმელია, რომ „ზოგადი განათლების შესახებ“ საქართველოს კანონის თანახმად, ინდივიდუალური სასწავლო გეგმა არის მოსწავლის სპეციალური საგანმანათლებლო საჭიროების გათვალისწინებით, ეროვნული სასწავლო გეგმის ადაპტაციით შექმნილი სასწავლო გეგმა, რომელიც სასკოლო სასწავლო გეგმის ნაწილია. ამასთან, სპეციალური საგანმანათლებლო საჭიროების მქონე მოსწავლის სწავლების და შესაბამისად, ინკლუზიური განათლების წესი და პროცესი რეგულირებულია „ინკლუზიური განათლების დანერგვის, განვითარებისა და მონიტორინგის წესების, აგრეთვე სპეციალური საგანმანათლებლო საჭიროების მქონე მოსწავლეთა იდენტიფიკაციის მექანიზმის დამტკიცების თაობაზე“ საქართველოს განათლებისა და მეცნიერების მინისტრის 2018 წლის 21 თებერვლის №16/ნ ბრძანებით. ხსენებული ბრძანებით მათ შორის განსაზღვრულია მოსწავლის სპეციალური საგანმანათლებლო საჭიროების იდენტიფიცირების, ინდივიდუალური სასწავლო გეგმის შედგენისა და შემდგომში ამ გეგმის შესაბამისად, მოსწავლის სწავლების პროცესი. გარდა ამისა, აღსანიშნავია, რომ მოსწავლის საგანმანათლებლო საჭიროების დადგენა ხდება მულტიდისციპლინური გუნდის დასკვნის საფუძველზე. ხოლო, ინდივიდუალური სასწავლო გეგმის შესრულებაზე პასუხისმგებელია სკოლის სასწავლო გეგმის შემმუშავებელი სამუშაო ჯგუფი (ისგ ჯგუფი), რომელიც შეიმუშავებს და ზედამხედველობას უწევს გეგმის შესაბამისად სსსმ მოსწავლის სწავლების პროცესს. აქვე აღსანიშნავია, რომ ხსენებული გეგმის შედგენა ხდება არასრუწლოვანთა პერსონალური მონაცემების (მათ შორის, ჯანმრთელობის მდგომარეობასთან დაკავშირებული ინფორმაციის) დამუშავების გზით.

შემოწმებების შედეგად დადგინდა, რომ ზემოხსენებული სამართლებრივი აქტების შესაბამისად, სასწავლო პროცესის უზრუნველსაყოფად, სასწავლო პროგრამის სსსმ მოსწავლის საჭიროებაზე ადაპტირების მიზნით, ინდივიდუალური სასწავლო გეგმის შექმნისა და შენახვის პროცესში სკოლები ამუშავებენ მოსწავლეთა შესახებ სხვადასხვა სახის ინფორმაციას, კერძოდ: სახელს; გვარს; დაბადების თარიღს; პირად ნომერს; ასაკს; კლასს; სკოლას; ინფორმაციას მშობლის/კანონიერი წარმომადგენლის შესახებ (სახელს, გვარს, სატელეფონო ნომერს, იურიდიულ და ფაქტობრივ მისამართს და სხვა); ინფორმაციას მოსწავლის ინდივიდუალური საგაკვეთილო ცხრილის, ცოდნისა და განვითარების დონის, ასევე დასახული მიზნების, მოსწავლის მიერ ინდივიდუალური სასწავლო გეგმით დასახული მიზნების მიღწევების, გამოწვევების, ჯანმრთელობის მდგომარეობის შესახებ და სხვა. 

სამსახურის შეფასებით, რესურსსკოლების, როგორც სპეციალიზირებული საგანმანათლებლო დაწესებულებების მიერ მონაცემები მუშავდება კანონმდებლობით ნაკისრი მოვალოებების შესასრულებლად, ხოლო განსაკუთრებული კატეგორიის მონაცემები (ჯანმრთელობის შესახებ ინფორმაცია) მუშავდება შეზღუდული შესაძლებლობის მქონე პირთა და სპეციალური საგანმანათლებლო საჭიროების მქონე პირთა განათლების უფლების განხორციელების მიზნით. ამასთან, ნიშანდობლივია, რომ სკოლები ინდივიდუალური სასწავლო გეგმების შექმნისა და შენახვის პროცესში მონაცემებს ამუშავებდნენ კონკრეტული, მკაფიოდ განსაზღვრული კანონიერი მიზნის მისაღწევად საჭირო მოცულობით.

შემოწმებების ფარგლებში სამსახურმა აგრეთვე იმსჯელა ინდივიდუალური სასწავლო გეგმების შექმნისა და შენახვის პროცესში პერსონალური მონაცემების მიმართ მიღებული უსაფრთხოების ორგანიზაციულ-ტექნიკური ზომების მნიშვნელობაზე. აღსანიშნავია, რომ მონაცემთა უსაფრთხოების დაცვის თვალსაზრისით, ორივე სკოლაში გამოვლინდა გარკვეული ნაკლოვანებები.

სამსახურმა ერთი-ერთი სკოლის შემოწმების ფარგლებში, მონაცემთა უსაფრთხოებისთვის რისკის შემცველად შეაფასა, სკოლის საქმისმწარმოებლის მიერ, სამინისტროდან მიღებული მულტიდისციპლინური გუნდის დასკვნის, კლასების დამრიგებლებისთვის პირად ელექტრონულ ფოსტაზე გაგზავნის ფაქტები. კერძოდ, სამსახურის შეფასებით, თანამშრომლის მიერ პირადი ელექტრონული ფოსტით პერსონალური მონაცემების შემცველი პროფესიულ საქმიანობასთან დაკავშირებული ინფორმაციის დამუშავება, მათ შორის, მიმოცვლა და შენახვა, რისკების შემცველია, იმდენად, რამდენადაც ხსენებულ სისტემაზე კონტროლი არ გააჩნია დამსაქმებელ ორგანიზაციას (მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს). ასეთ შემთხვევაში დამსაქმებელს არ აქვს ეფექტიანი შესაძლებლობა, მიიღოს მონაცემთა რისკების ადეკვატური ორგანიზაციულ-ტექნიკური ზომები აღნიშნული სისტემებით დამუშავებული პერსონალური მონაცემების დასაცავად. შესაბამის თანამშრომელთან შრომითი ურთიერთობის შეწყვეტის შემთხვევაში კი, არსებობს მნიშვნელოვანი რისკი, რომ ამ სისტემებში პერსონალური მონაცემების შენახვა გაგრძელდება და მათზე წვდომის შესაძლებლობა ექნება არაუფლებამოსილ პირს (ყოფილ თანამშრომელს).

სამსახურმა აგრეთვე იმსჯელა სკოლის მასწავლებლების მიერ არქივის ფორმატის, პაროლით დაცული ინდივიდუალური საქაღალდეების სკოლის კომპიუტერებში, საოპერაციო სისტემის საერთო მომხმარებლის ანგარიშის გამოყენებით შენახვის ფაქტზე. მართალია, ხსენებული საქაღალდეები დაცული იყო შესაბამისი პაროლებით, თუმცა არსებობდა არაუფლებამოსილი პირების მიერ, ხსენებული არქივის ფორმატის საქაღალდის შემთხვევითი წაშლის რისკებიც, ვინაიდან გარდა მასწავლებლებისა, ხსენებული კომპიუტერებით, საგაკვეთილო სწავლების ფარგლებში სარგებლობდნენ მოსწავლეებიც.

მეორე სკოლის შემოწმების ფარგლებში, სამსახურმა არასათანადო უსაფრთხოების ზომად შეაფასა სკოლის მიერ, ინდივიდუალური სასწავლო გეგმების ნაწილის საქმისმწარმოებლის სამუშაო ოთახში არსებულ ღია კარადის თაროებზე შენახვა. ამასთან, ხსენებულ შემთხვევაში, რისკებს კიდევ უფრო ზრდიდა ის ფაქტი, რომ  ამავე ოთახში საქმისმწარმოებელთან ერთად თავის სამსახურებრივ ფუნქციებს ახორციელებდა სკოლის ბუღალტერიც, რომელიც არ საჭიროებდა წვდომას სსსმ მოსწავლეთა ინდივიდუალურ სასწავლო გეგმებზე.

ხსენებული სკოლის შემოწმების ფარგლებში, სამსახურმა ყურადღება აგრეთვე გაამახვილა მოსწავლეების მონაცემების შემცველი ინდივიდუალური საგნობრივი გეგმის ნიმუშების, ელექტრონული „Ms Word“ ფორმატის დოკუმენტების სახით, სკოლის მასწავლებელთა პაროლით დაუცველ სამუშაო (პორტატულ) კომპიუტერებში შენახვაზე. სამსახურის განმარტებით, ხსენებული სახით პერსონალური მონაცემების შემცველი, მათ შორის, განსაკუთრებული კატეგორიის მონაცემების დამუშავება (შენახვა) ქმნის მონაცემებზე არაუფლებამოსილი პირების წვდომისა და მონაცემთა უკანონოდ დამუშავების რისკებს.

რესურსსკოლებს პერსონალურ მონაცემთა უსაფრთხოების უზრუნველყოფის მიზნით, დაევალათ ზემოხსენებული ხარვეზების აღმოფხვრა.

შემოწმების ფარგლებში აგრეთვე დადგინდა, რომ მიუხედავად „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით საჯარო დაწესებულებებისთვის პირდაპირ დაკისრებული ვალდებულებისა, არც ერთ რესურსსკოლას არ ჰყავდა დანიშნული/განსაზღვრული პერსონალურ მონაცემთა დაცვის ოფიცერი. აღნიშნულის გამო, ორივე სკოლას დაეკისრა პასუხისმგებლობა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 82-ე მუხლის 1-ლი პუნქტით გათვალისწინებული ადმინისტრაციული სამართალდარღვევისთვის, შეეფარდათ ადმინისტრაციული სახდელი - გაფრთხილება და მიეცათ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის/განსაზღვრის დავალება.

სამსახურის შეფასებით, რესურსკოლების შემოწმების ფარგლებში დადგენილი ზემოხსენებული გარემოებები განსაკუთრებულად მნიშვნელოვანია იმის გათვალისწინებით, რომ მოცემულ შემთხვევაში, სკოლების მიერ ინდივიდუალური სასწავლო გეგმების შექმნის პროცესში, მათ შორის, მუშავდება სსსმ მოსწავლეთა განსაკუთრებული კატეგორიის მონაცემები.