2024-12-09

გამჭვირვალობის პრინციპი და მონაცემთა უსაფრთხოების დაცვა

---

სამსახურს განცხადებით მომართა ფიზიკურმა პირმა და მოითხოვა ტაქსის გამოძახების ერთ-ერთი სერვისის პროვაიდერი კომპანიის მიერ მათი აპლიკაციის მეშვეობით განცხადების ავტორის მონაცემების დამუშავების კანონიერების შესწავლა.

საქმის შესწავლის ფარგლებში დადგინდა, რომ განმცხადებელი დარეგისტრირებული იყო აპლიკაციაში, როგორც „შემკვეთი“. მისი პირადი ანგარიშის გვერდზე მითითებული იყო შემდეგი მონაცემები: სახელი, გვარი, სქესი, ტელეფონის ნომერი, დაბადების თარიღი და ელექტრონული ფოსტის მისამართი. განმცხადებელმა აპლიკაციის ე. წ. შიდა „ჩატის“ მეშვეობით მოითხოვა საკუთარი ანგარიშის და მონაცემების წაშლა. ამ მოთხოვნის პასუხად კომპანიის წარმომადგენელმა განმცხადებელს განუმარტა, რომ მობილური ტელეფონიდან წაეშალა აპლიკაცია, რომლის საშუალებით ანგარიში გაუქმდებოდა.

ზემოაღნიშნულ პასუხთან ერთად, კომპანიამ საკუთარი ბაზიდან წაშლა მონაცემები, თუმცა განმცხადებლის მობილურ აპლიკაციაში კვლავ იყო შენახული სატელეფონო ნომერი და სქესი. ამასთან, მას კვლავ შეეძლო აპლიკაციით და, შესაბამისად, ტაქსის სერვისით სარგებლობა. კომპანიამ სამსახურს განუმარტა, რომ აღნიშნული განპირობებული იყო განმცხადებლის სატელეფონო ნომრის ან/და აპლიკაციის მიერ „cache“ ფაილების შენახვით. კომპანიამ ასევე განმარტა, რომ ასეთ შემთხვევაში მონაცემები მათ მიერ აღარ მუშავდებოდა (წაშლილი იყო მონაცემთა ბაზიდან), თუმცა მობილურ ტელეფონში არსებული „cache“ ფაილების წასაშლელად აუცილებელი იყო მობილური ტელეფონიდან აპლიკაციის წაშლა ან ანგარიშიდან გასვლა ე. წ. „Log out“-ის ფუნქციის გამოყენებით. კომპანიამ, ნაცვლად მოცემული პროცედურის შესახებ ინფორმაციის მიწოდებისა, განმცხადებელს ე.წ. შიდა „ჩატის“ მეშვეობით განუმარტა, რომ ანგარიში აპლიკაციის წაშლის შემთხვევაში გაუქმდებოდა, თუმცა იმის გათვალისწინებით, რომ აპლიკაციაში „cache“ ფაილის სახით დარჩა მონაცემები, განმცხადებლისთვის არ იყო აღქმადი,ნამდვილად წაშალა თუ არა კომპანიამ მისი მონაცემები. გარდა ამისა, ზემოაღნიშნული პროცედურის შესახებ კომპანიის კონფიდენციალურობის პოლიტიკაში რაიმე სახის ინფორმაცია არ იყო მითითებული.

განხილვის ფარგლებში დადგინდა, რომ კომპანიის ვებგვერდის მეშვეობით რეგისტრაციისას სავალდებულოდ შესავსები იყო ინფორმაცია, რომელიც კომპანიის კონფიდენციალურობის პოლიტიკის თანახმად ასეთად არ მიიჩნეოდა. გარდა ამისა, კომპანიის მონაცემთა ბაზის (რომელშიც გაერთიანებული იყო აპლიკაციაში რეგისტრირებული მომხმარებლების მონაცემები) შემოწმებისას დადგინდა, რომ მას არ გააჩნდა მონაცემთა მიმართ შესრულებული ყველა მოქმედების აღრიცხვის ელექტრონული ჟურნალი (ე. წ. „ლოგირება“), რომლითაც შესაძლებელი იქნებოდა განმცხადებლის მონაცემების/ანგარიშის წაშლის ზუსტი დროის განსაზღვრა.
ყოველივე ზემოაღნიშნულის გათვალისწინებით, კომპანიას დაეკისრა ადმინისტრაციული პასუხისმგებლობა, ერთი მხრივ, მონაცემთა დამუშავების პროცესში გამჭვირვალობის პრინციპის, ხოლო, მეორე მხრივ, უსაფრთხოების მოთხოვნების დარღვევისათვის. ამასთან, კომპანიას დაევალა, მონაცემთა სუბიექტებისათვის, გამჭვირვალობის პრინციპის მოთხოვნების დაცვით, მიეწოდებინა ინფორმაცია რეგისტრაციისას სავალდებულოდ/ნებაყოფლობით მისათითებელი მონაცემების, ხოლო, ანგარიშის გაუქმების/მონაცემთა წაშლის მოთხოვნისას, სრული და ზუსტი ინსტრუქცია შესაბამისი პროცედურის შესახებ. გარდა ამისა, უსაფრთხოების კუთხით კომპანიას დაევალა ისეთი სისტემის დანერგვა, რომლითაც შესაძლებელი იქნებოდა მონაცემთა ბაზაში ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების აღრიცხვა.