+995 32 242 1000
office@pdps.ge
. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2024-09-10
ერთ-ერთმა სამედიცინო დაწესებულებამ სიმსივნის დიაგნოზის მქონე ათეულობით პირის მონაცემები სახელმწიფო შესყიდვების ვებგვერდზე შემთხვევით გაამჟღავნა
პერსონალურ მონაცემთა დაცვის სამსახურში წარმოდგენილი ინფორმაციის საფუძველზე საზედამხედველო ორგანომ, გენეტიკურ მუტაციებზე ჩატარებული ანალიზების სახელმწიფო შესყიდვების საჯარო ვებგვერდზე განთავსებით, მონაცემთა გამჟღავნების კანონიერება და სავარაუდო ინციდენტის შესახებ სამსახურისათვის შეტყობინების ვალდებულების შესრულება შეისწავლა.
საწყის ეტაპზე გამოვლინდა, რომ გასაჯაროებული დოკუმენტი 200-ამდე ფიზიკური პირის სახელს, გვარს, პირად ნომერს, ჩატარებული სამედიცინო კვლევების დასახელებას, თარიღს შეიცავდა და მასში მითითებული კვლევების სახელწოდებები პაციენტების სიმსივნის დიაგნოზზე მიუთითებდა. თავის მხრივ, სახელმწიფო შესყიდვების პორტალი, რომლის ადმინისტრირებასაც სსიპ „სახელმწიფო შესყიდვების სააგენტო“ ახორციელებს, საჯარო დაწესებულებების მიერ შესყიდვების ღია და გამჭვირვალე ელექტრონული ტენდერების მეშვეობით განხორციელებას უზრუნველყოფს. საკითხის მნიშვნელობასა და შესაძლო საფრთხეებს ელექტრონულ ტენდერებთან დაკავშირებით სისტემაში განთავსებული ინფორმაციის საჯარო ხასიათი განაპირობებდა. შესაბამისად, დოკუმენტში ასახული ფიზიკური პირებისათვის მიყენებული ზიანის არსებითად შემცირების მიზნით, სამსახურმა მონაცემების დაბლოკვის გადაწყვეტილება შესწავლის დასრულებამდე მიიღო, რაც სააგენტომ დაუყოვნებლივ შეასრულა.
პაციენტების პერსონალური მონაცემების შემცველი დოკუმენტი სატენდერო დოკუმენტაციის ნაწილს არ წარმოადგენდა და იგი სისტემაში პრეტენდენტი კომპანიის ერთ-ერთმა თანამშრომელმა შეცდომით ატვირთა. კომპანიამ ელექტრონულ ტენდერთან დაკავშირებული დოკუმენტების სისტემაში ატვირთვა იმ პირს დაავალა, რომელსაც სახელმწიფო შესყიდვების მიმართულებით გამოცდილება არ ჰქონია და რაიმე სახის დამატებითი კვალიფიკაციის ასამაღლებელი კურსი არ გაუვლია. ამასთან, იგი სისტემაში განთავსებული მონაცემების საჯარო ბუნებასა და სახელმწიფო შესყიდვების ზოგადი პრინციპების თაობაზე ინფორმირებული არ ყოფილა.
ტენდერში მონაწილე ორგანიზაცია და ელექტრონულ ტენდერებზე პასუხისმგებელი პირი შესყიდვების პროცესში მონაცემების დამუშავების სპეციფიკასა და შესაძლო რისკებს სრულად უნდა აცნობიერებდეს. ეს საკითხი მით უფრო აქტუალურია, როდესაც პრეტენდენტი სამედიცინო დაწესებულებაა, სადაც დიდი რაოდენობის ფიზიკურ პირთა შესახებ ჯანმრთელობასთან დაკავშირებული 26 სხვადასხვა შინაარსის მონაცემი იყრის თავს. სწორედ დამუშავებისთვის პასუხისმგებელი პირია ვალდებული, მათ შორის საკადრო ცვლილებების შემთხვევაში, გაითვალისწინოს თანამშრომლების გამოცდილებიდან მომდინარე საფრთხეები და მონაცემთა უსაფრთხოების უზრუნველსაყოფად ადეკვატური ზომები მიიღოს. სათანადო სიფრთხილის გამოჩენის საჭიროებაზე მიანიშნებს, რომ სისტემაში ატვირთული ინფორმაცია/დოკუმენტაცია პირთა განუსაზღვრელი წრისთვის ხდება ხელმისაწვდომი და ტენდერის მხარეებს მათი შეცვლის, დამატების, წაშლის ტექნიკური შესაძლებლობა არ აქვთ.
ამდენად, მონაცემთა უსაფრთხოების დასაცავად სათანადო ორგანიზაციულტექნიკური ზომების მიუღებლობით კომპანიამ დაარღვია „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლის (მონაცემთა უსაფრთხოება) მოთხოვნები და 76-ე მუხლის შესაბამისად, სამართალდამრღვევად იქნა ცნობილი. გარდა ამისა, კომპანიის თანამშრომლის მიერ ზემოაღნიშნული დოკუმენტის შემთხვევით უკანონოდ გასაჯაროების ფაქტი ინციდენტად იქნა მიჩნეული, რის გამოც დამუშავებისთვის პასუხისმგებელი პირის მიერ სპეციფიკური ვალდებულებების შესრულება შეფასდა.
კომპანიამ პაციენტების პერსონალური მონაცემების შემცველი დოკუმენტის საჯაროდ გამოქვეყნება მართებულად მიიჩნია ინციდენტად და შეადგინა ოქმი, თუმცა ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა და სიმძიმე არ შეუფასებია. ამასთან, კომპანიას სამსახურისთვის არ შეუტყობინებია ინციდენტის თაობაზე და სააგენტოსათვის მიმართვის გზით შეეცადა, მოეგვარებინა პრობლემა. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით (2024 წლის 28 თებერვლის №19 ბრძანებით) დამტკიცებული კრიტერიუმების შესაბამისად, პერსონალურ მონაცემთა დაცვის სამსახურმა ინციდენტის სახე და სიმძიმე შეაფასა. მიიჩნია, რომ დაირღვა მონაცემთა კონფიდენციალურობა, ხოლო ადამიანის უფლებებისა და თავისუფლებებისათვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა შეფასებული იქნა, როგორც ― საშუალო. შეფასებისას მხედველობაში იქნა მიღებული მონაცემთა სუბიექტების რაოდენობა, მონაცემების ხასიათი, დოკუმენტის ნახვის ოდენობა და ინციდენტის მოკლე ვადაში აღმოჩენის ფაქტი.
ამასთან, კომპანიის მიერ სააგენტოსათვის ინფორმაციის მიწოდება არ შეფასდა სამსახურისთვის შეტყობინების ვალდებულების შესრულების ტოლფასად, რამდენადაც სააგენტო ვერ უზრუნველყოფდა საზედამხედველო ორგანოსთვის დამუშავებისთვის პასუხისმგებელი პირის მიერ კანონითა და ნორმატიული წესით განსაზღვრული ფორმისა და შინაარსის მქონე ინფორმაციის მოწოდებას. სამსახურისთვის ინციდენტის შეტყობინების პროცესი არ არის ფორმალური და მონაცემთა დაცვის საზედამხედველო ორგანოს, საკუთარი მანდატის ფარგლებში, აქვს ისეთი ეფექტიანი მექანიზმების (მაგალითად, დაბლოკვის) გამოყენების უფლებამოსილება, რომლითაც შესაძლოა არსებითად შემსუბუქდეს ინციდენტის შედეგები.
ამდენად, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 29-ე მუხლის შესაბამისად, კომპანიამ ვერ უზრუნველყო ადამიანის 27 უფლებებისთვის საშუალო საფრთხის შემცველი ინციდენტის შესახებ სამსახურისთვის შეტყობინების ვალდებულების შესრულება, რის გამოც, კანონის 78-ე მუხლის შესაბამისად, იგი სამართალდამრღვევად იქნა ცნობილი.
მსგავსი გადაწყვეტილებები
საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღების პერსონალური მონაცემების გამჟღავნების კანონიერება
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე ერთერთი საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღე...
ვიდეომონიტორინგი სკოლებში და კოლეჯებში
სამსახურმა გეგმურად შეამოწმა 2 (ორი) სახელმწიფო პროფესიული საგანმანათლებლო დაწესებულება/კოლეჯის (შემდგომში ― კოლეჯი), ასევე 3 (სამი) საჯარო და 3 (სამი...
ვიდეო-აუდიომონიტორინგი
ვიდეოკამერების სისტემები სხვადასხვა სახის, დიდი მოცულობით პერსონალური მონაცემების დამუშავების (მოპოვების, ჩაწერის, შენახვის) შესაძლებლობას იძლევა. ამა...