2024-09-11

პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული გამოწვევები

---

პერსონალურ მონაცემთა დაცვის სამსახურმა არაგეგმურად შეისწავლა მუნიციპალიტეტების ოცზე მეტი ორგანოს, რამდენიმე სკოლის, უნივერსიტეტის, სხვადასხვა საჯარო სამართლის იურიდიული პირის, საქართველოს ოკუპირებული ტერიტორიებიდან დევნილთა, შრომის, ჯანმრთელობისა და სოციალური დაცვის სამინისტროს, საქართველოს იუსტიციის სამინისტროსა და სხვა უწყებებს დაქვემდებარებული საჯარო სამართლის, ასევე – არასამეწარმეო არაკომერციული იურიდიული პირების მიერ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის/განსაზღვრის ვალდებულების ჯეროვანი შესრულების ფაქტები. მათ შორის:

- ერთ-ერთი მუნიციპალიტეტის საკრებულოს შემოწმების ფარგლებში დადგინდა, რომ დაწესებულებამ პერსონალურ მონაცემთა დაცვის ოფიცრად განსაზღვრა საკრებულოს აპარატის უფროსი, რომელსაც ახალი ფუნქციები თავის ძირითად სამსახურებრივ უფლებამოსილებებზე დამატებით დააკისრა. შესაბამისად, ის ხელმძღვანელობდა აპარატს და ადამიანურ რესურსებს, საორგანიზაციო საკითხებს, ადმინისტრაციულ საქმისწარმოებასა და სხვა მიმართულებებს. ამასთან, მონაცემთა დამუშავების მიზნებისა და საშუალებების განსაზღვრაში გადაწყვეტილების მიმღებ პირად მონაწილეობდა. მაგალითად, ითანხმებდა კორესპონდენციების შინაარსს და მათ ვიზირებას ახდენდა დოკუმენტბრუნვის ელექტრონულ სისტემაში, სასამართლო დავებთან დაკავშირებით გადაწყვეტილებას იღებდა წარსადგენი მტკიცებულებების შესახებ და წყვეტდა სხვა მენეჯერულ საკითხებს. მოქმედი კანონმდებლობის გარდა, სამსახური ასევე დაეყრდნო „მონაცემთა დაცვის ევროპული საბჭოს“ განმარტებებს, რომელთა მიხედვით ინტერესთა კონფლიქტის არარსებობა მჭიდროდ არის დაკავშირებული პერსონალურ მონაცემთა დაცვის ოფიცრის მიერ მიუკერძოებლად და დამოუკიდებლად საქმიანობის განხორციელების შესაძლებლობასთან. 4 შესაბამისად, ოფიცერი თავად არ უნდა იყოს დაწესებულებაში დასაქმებული პირი, რომელიც პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს განსაზღვრავს ანდა მონაწილეობს მათ განსაზღვრაში. 5 ზემოაღნიშნულიდან გამომდინარე, სამსახურმა დაადგინა კანონის 33-ე 4 Guidelines on Data Protection Officers (‘DPOs’), European Commission, endorsed by EDBP, 2017, 16. 5 Guidelines on Data Protection Officers (‘DPOs’), European Commission, endorsed by EDBP, 2017, 16. აქვე აღსანიშნავია, რომ, პერსონალურ მონაცემთა დაცვის ოფიცრისთვის ინტერესთა კონფლიქტის საკითხთან დაკავშირებით, მართლმსაჯულების ევროპული სასამართლოც ანალოგიურ განმარტებას აკეთებს იხ., Judgment of the Court, ECJ, Case C-453/21, 09/02/2024, par. 44, 46.2. 28 მუხლის მე-5 პუნქტის (პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქციაც, თუ ეს არ წარმოშობს ინტერესთა კონფლიქტს) არაჯეროვანი შესრულების ფაქტი.

 

- ერთ-ერთ სკოლასთან მიმართებით მიღებულ გადაწყვეტილებაში სამსახურმა შეაფასა პერსონალურ მონაცემთა დაცვის ოფიცრის სათანადო ცოდნისა და ინტერესთა კონფლიქტის საკითხი. შესწავლის შედეგად დადგინდა, რომ სკოლას განსაზღვრული ჰყავდა პერსონალურ მონაცემთა დაცვის ოფიცერი, რომელიც იმავდროულად დასაქმებული იყო სკოლის პედაგოგისა და კონცერტმაისტერის პოზიციაზე. პედაგოგი გაწევრიანებული იყო სკოლის კოლეგიურ ორგანოში ― პედაგოგიურ საბჭოში. საბჭო გადაწყვეტილებას იღებს სკოლაში მიმდინარე/განსახორციელებელ მნიშვნელოვან ღონისძიებებზე, როგორიცაა, მაგალითად, სამუშაო და სასწავლო გეგმები; მითითებული საქმიანობა კი, თავის მხრივ, მონაცემთა დამუშავების მრავალმხრივ პროცესებს მოიცავს. როდესაც დაწესებულების მოქმედი თანამშრომელი ოფიცრად განისაზღვრება, ის მხოლოდ ოფიცრის უფლებამოსილებას უნდა ასრულებდეს ან დამატებით ითავსებდეს სხვა ისეთ ფუნქციებს, რომელთა განხორციელებისას არ წარმოიშობა ინტერესთა კონფლიქტი. ფუნქციებს შორის ინტერესთა კონფლიქტის არარსებობა მნიშვნელოვანია იმისათვის, რომ ოფიცერმა სათანადოდ შეძლოს ვითარების ობიექტური აღქმა, საჭირო მექანიზმების პრაქტიკაში ინტეგრირება და შემდგომი რეაგირება. შესაბამისად, გადაწყვეტილების მიხედვით, ვინაიდან პედაგოგი უშუალოდ მონაწილეობს სკოლის მიზნების შესრულებასა და სკოლაში მონაცემთა დამუშავებასთან დაკავშირებული კონკრეტული პროცესების დაგეგმვაში, ასევე, განგრძობადი და პირდაპირი შეხება აქვს საგანმანათლებლო დაწესებულების ძირითად მონაცემთა სუბიექტებთან (მოსწავლეებთან), ის ვერ შეითავსებს პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქციას. რაც შეეხება მონაცემთა დაცვის სფეროში ოფიცრის სათანადო ცოდნის საკითხის შეფასებას, იგი უნდა ფლობდეს კანონის სიღრმისეულ ცოდნას; მონაცემთა დაცვის ოფიცრისთვის განსაზღვრული კონკრეტული დავალებების შესასრულებლად აუცილებელ უნარებს; პიროვნულ თვისებებს, რათა ხელი შეუწყოს, მხარი დაუჭიროს და მიაღწიოს დაწესებულების შესაბამისობას კანონის მოთხოვნებთან; ასევე უნდა ფლობდეს კანონთან შესაბამისობის დასადასტურებლად საჭირო დოკუმენტაციის ცოდნას. ამასთან, ოფიცერს საბაზისო ცოდნა უნდა ჰქონდეს საინფორმაციო ტექნოლოგიების, მონაცემთა უსაფრთხოების მიმართულებით და უნდა იცნობდეს დაწესებულების საქმიანობის მარეგულირებელ საკანონმდებლო და კანონქვემდებარე აქტებს. 6 თავის მხრივ, მონაცემთა დამუშავების სფეროში სათანადო ცოდნის შეძენის სხვადასხვა საშუალება არსებობს. მაგალითად, შესაძლებელია, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესწავლა და სამსახურისაგან შესაბამისი 6 იხ. პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაცია - „მინიმალური სტანდარტი პერსონალურ მონაცემთა დაცვის ოფიცრებისთვის“, 6-7. 29 კონსულტაციების მიღება; ხელმისაწვდომ სხვადასხვა საინფორმაციო შეხვედრასა და შესაბამის სასწავლო კურსზე/ტრენინგზე დასწრება; სამსახურის ვებგვერდზე განთავსებული სხვადასხვა სარეკომენდაციო შინაარსის დოკუმენტის გაცნობა მონაცემთა დამუშავებასთან დაკავშირებულ არაერთ საკითხზე, მათ შორის – არასრულწლოვნების მონაცემების დაცვის წესების თაობაზე და სხვა. განხილულ შემთხვევაში დადგინდა, რომ პედაგოგი, რომელიც ამავდროულად პერსონალურ მონაცემთა დაცვის ოფიცრის პოზიციას იკავებდა, არ ფლობდა პერსონალურ მონაცემთა დაცვის სფეროს მარეგულირებელი კანონმდებლობის საბაზისო ცოდნას. მას დაწესებულებიდან არ მიეწოდა სათანადო ინფორმაცია და არც სხვა საშუალებით გადამზადებულა. ზემოაღნიშნულიდან გამომდინარე, სამსახურმა დაადგინა კანონის 33-ე მუხლის მე-5 პუნქტის (პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში) არაჯეროვანი შესრულების ფაქტი.

 

- საანგარიშო პერიოდში გამოვლინდა, რომ რამდენიმე მუნიციპალიტეტის საკრებულოსა და მერიას დანიშნული ჰყავდა პერსონალურ მონაცემთა დაცვის ოფიცერი, თუმცა მისი საიდენტიფიკაციო და საკონტაქტო მონაცემები პროაქტიულად არ ჰქონდა გამოქვეყნებული. „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებულნი არიან, პერსონალურ მონაცემთა დაცვის ოფიცრის ვინაობა და საკონტაქტო ინფორმაცია პროაქტიულად გამოაქვეყნონ ვებგვერდზე (ასეთის არსებობის შემთხვევაში) ან სხვა ხელმისაწვდომი საშუალებით. სამსახურმა შეაფასა საზოგადოებისთვის ხელმისაწვდომი ფორმით ინფორმაციის გამოქვეყნების მეთოდები და მსგავსი მნიშვნელობა მიენიჭა მოქმედ ვებგვერდებს, რომლებზეც დაწესებულებები სისტემატურად აახლებენ ინფორმაციას, ასევე – ადმინისტრაციულ შენობებში არსებულ საინფორმაციო დაფებს. შესაბამისად, საჯარო უწყებებს მიეცათ დავალებები და რეკომენდაციები, მათ შორის უკვე გამოქვეყნებულ მონაცემებთან დაკავშირებით (სხვა ინფორმაციისგან განცალკევებულად), რომ იგი ყველასთვის ხელმისაწვდომად და მარტივად გამოქვეყნებულიყო.

 

- საანგარიშო პერიოდში გამოვლინდა რამდენიმე შემთხვევა, როდესაც დაწესებულებებმა სამსახურის გადაწყვეტილებით პერსონალურ მონაცემთა დაცვის ოფიცერთან დაკავშირებით დადგენილი დავალებები არ შეასრულეს ან/და მათ შესასრულებლად მხოლოდ ნაწილობრივი ღონისძიებები გაატარეს. მსგავს შემთხვევებში სამსახურმა დავალების შეუსრულებლობის ფაქტებზე ინსპექტირებები (ე. წ. „რეინსპექტირებები“) ჩაატარა. ცალკეულ დაწესებულებებთან მიმართებით „რეინსპექტირების“ ფარგლებში გამოიკვეთა, რომ განსაზღვრული პერსონალურ მონაცემთა დაცვის ოფიცრები ვერ აკმაყოფილებდნენ სათანადო ცოდნის თაობაზე კანონით დადგენილ სტანდარტს. გარდა ამისა, გამოვლინდა ისეთი შემთხვევები, როდესაც, პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილებით მიღებული დავალების მიუხედავად, დაწესებულებებმა არ დანიშნეს პერსონალურ მონაცემთა დაცვის ოფიცერი, რაც სამსახურის მიერ კანონის 87-ე მუხლის (სამსახურის კანონიერი მოთხოვნის შეუსრულებლობა) დარღვევად შეფასდა.