2024-12-10

მონაცემთა უსაფრთხოება

---

სამსახურს შეტყობინებით მომართა ფიზიკურმა პირმა და მოითხოვა ერთ-ერთი ბანკის მიერ შეტყობინების ავტორის სატელეფონო ნომერზე მოკლეტექსტური შეტყობინებების გაგზავნის გზით მესამე პირების მონაცემების გამჟღავნების კანონიერების შესწავლა.

შემოწმების (ინსპექტირების) ფარგლებში დადგინდა, რომ შეტყობინების ავტორმა ბანკის სახელით თავის მფლობელობაში არსებულ სატელეფონო ნომერზე მიიღო მოკლეტექსტური შეტყობინებები, რომლებიც შეიცავდა მესამე პირების/ბანკის მომხმარებლების მონაცემებს (სახელს, გვარს, პირად ნომერს, განვადების განაცხადის ნომერს, განაცხადის ცვლილებების/დამტკიცებისა და განაცხადის გაუქმების შესახებ ინფორმაციას).
ბანკის წარმომადგენელმა აღიარა, რომ ბანკის მოქმედი თანამშრომლის (სესხის ოფიცრის) სატელეფონო ნომერზე გასაგზავნი მესამე პირების/ბანკის მომხმარებლების მონაცემების შემცველი მოკლეტექსტური შეტყობინებები, კონკრეტული პერიოდის განმავლობაში, იგზავნებოდა მონაცემებზე წვდომისთვის არაუფლებამოსილი პირის, ბანკის ყოფილი თანამშრომლის სატელეფონო ნომერზე (ბანკის მოქმედი და ყოფილი თანამშრომლების სახელი და გვარი იყო ერთი და იგივე), რის მიზეზად დაასახელა ბანკის სისტემური მხარდაჭერის ოფიცრის უნებლიე, ადამიანური შეცდომა. მისი ინფორმაციით, ბანკი საქმიანობის პროცესში, შიდაორგანიზაციული მიზნებისათვის, იყენებდა პროგრამას (შემდგომ - პროგრამა), რომელიც მათ შორის დაკავშირებული იყო ბანკის ე. წ. „HR“ ბაზასთან. პროგრამა იძლეოდა სესხის ოფიცრებისათვის უნიკალური ოთხნიშნა კოდის მინიჭების, მათი დამატების, ცვლილების, წაშლის და სხვა მოქმედებების შესაძლებლობას. პროგრამაში სესხის ოფიცრის დამატების პროცესში ბანკის ე. წ. „HR“ ბაზიდან სესხის ოფიცრის ძიება ხორციელდებოდა მხოლოდ სახელისა და გვარის (ლათინური ასოებით) მითითებით, რის შემდეგაც ძიების განმახორციელებელი პირისათვის ხელმისაწვდომი ხდებოდა საძიებო პირის სხვა მაიდენტიფიცირებელი მონაცემები.

შემოწმების (ინსპექტირების) ფარგლებში სამსახურმა განმარტა, რომ კანონი ადგენს დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებას, მიიღოს ისეთი ორგანიზაციულ-ტექნიკური ზომები, რომლებიც უზრუნველყოფს მონაცემთა დაცვას შემთხვევითი ან უკანონო გამჟღავნებისაგან. შესაბამისად, კანონმა იმპერატიულად განსაზღვრა ბანკის, როგორც დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემების დამუშავების უსაფრთხოებისათვის კანონით დადგენილი აუცილებელი მოთხოვნები. ზოგადად, განხორციელებულ ქმედებასა და დამდგარ შედეგს შორის ნებისმიერ შემთხვევაში უნდა არსებობდეს პირდაპირი და არა სავარაუდო მიზეზობრივი კავშირი, რამდენადაც სავარაუდო კავშირი საკმარის ობიექტურ საფუძვლად ვერ გამოდგება სამართლებრივი პასუხისმგებლობისთვის. ბანკს მოცემულ შემთხვევაში რომ მიეღო კანონით განსაზღვრული მონაცემთა უსაფრთხოების ტექნიკური ზომები, არ მოხდებოდა მის მიერ დროის კონკრეტულ პერიოდში არაუფლებამოსილი პირის, შეტყობინების ავტორის მფლობელობაში არსებულ სატელეფონო ნომერზე მოკლეტექსტური შეტყობინებების გაგზავნა, რომელთა საშუალებითაც გამჟღავნდა მესამე პირების/ბანკის მომხმარებლების მონაცემები. დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა დამუშავების პროცესში საქმიანობა იმგვარად უნდა განახორციელოს, რომ დაიცვას მონაცემთა დამუშავების უსაფრთხოების ზომები და მონაცემთა სუბიექტის უფლებები. შეცდომისგან დაცვის ტექნიკური მექანიზმი ბანკს შემუშავებული არ ჰქონდა, კერძოდ, ბანკის მიერ სესხის ოფიცრის პროგრამაში დამატების მიზნით, არსებული მეთოდით ბანკის ე. წ. „HR“ ბაზაში სესხის ოფიცრის მხოლოდ სახელითა და გვარით მოძიება ქმნიდა ადამიანური შეცდომის დაშვებისა და, შესაბამისად, მონაცემთა გამჟღავნების რისკს, რამაც, განსახილველ შემთხვევაში, გამოიწვია ბანკის მომხმარებლების/მესამე პირების მონაცემების არაუფლებამოსილი პირისათვის გამჟღავნება. აღნიშნულის გათვალისწინებით, ბანკს დაევალა, მიეღო ისეთი ორგანიზაციულ-ტექნიკური ზომები, რომელთა განხორციელების შედეგად პროგრამის მეშვეობით ბანკის ე. წ. „HR“ ბაზიდან სესხის ოფიცრის მონაცემების მოძიება მხოლოდ პირის უნიკალური მაიდენტიფიცირებელი მონაცემით იქნებოდა შესაძლებელი.