+995 32 242 1000
office@pdps.ge
. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2024-12-06
სსიპ „ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნულ ცენტრში“ სამედიცინო დაწესებულებების მიერ წარმოებული პერსონალური მონაცემების დამუშავება პირადი ელექტრონული ფოსტის მეშვეობით
დამუშავებისთვის პასუხისმგებელი და დამუშავებაზე უფლებამოსილი პირი ვალდებულნი არიან დამუშავების პროცესში გამოიყენონ მონაცემებისთვის უსაფრთხო მეთოდები და საშუალებები. შეტყობინების საფუძველზე სამსახურმა შეისწავლა ცენტრში სამსახურებრივი საქმიანობის ფარგლებში დასაქმებული პირების მიერ პირადი ელექტრონული ფოსტის მეშვეობით პერსონალური მონაცემების დამუშავების კანონიერება.
შეტყობინების ავტორს წლების განმავლობაში საკუთარ ელექტრონულ ფოსტაზე სხვადასხვა სამედიცინო დაწესებულებიდან ეგზავნებოდა ინფორმაცია უცნობ პირთა სამედიცინო მანიპულაციების თაობაზე. შეტყობინებებში ასახული იყო პაციენტების სახელი, გვარი, პირადი ნომერი, ასევე – ინფორმაცია მშობიარობის თარიღის, გარე ორსულობის, B და C ჰეპატიტის ტესტების ჩატარების თაობაზე და სხვა. კომუნიკაციის შინაარსიდან ირკვეოდა, რომ ინფორმაცია ცენტრის თანამშრომლისათვის იყო განკუთვნილი, ხოლო შეცდომა ელექტრონული ფოსტების მისამართებს შორის არსებითმა მსგავსებამ გამოიწვია ― ისინი ერთმანეთისგან მხოლოდ ერთი ასოთი განსხვავდებოდნენ. თითოეული ელექტრონული ფოსტა „Google“-ის ელექტრონული ფოსტის მისამართს მიეკუთვნებოდა.
შესწავლის ფარგლებში დადგინდა, რომ ცენტრი „დაბადების რეგისტრის“ ადმინისტრირებასა და მონაცემთა პროგრამულ დამუშავებას ახორციელებდა, რაც სამედიცინო დაწესებულებების მიერ ელექტრონულ სისტემაში შეყვანილი მონაცემების სისწორის კონტროლსა და მონაცემთა შესწორებას გულისხმობდა. მოცემული რეგისტრის წარმოებაში ასეულობით სამედიცინო დაწესებულება იყო ჩართული და მათ ელექტრონულ სისტემაში ორსულებისა და ახალშობილების თაობაზე სხვადასხვა სახის ინფორმაცია (მაგალითად: საიდენტიფიკაციო მონაცემები, კვლევებისა და ანალიზების შედეგები) შეჰყავდათ; ხოლო სისტემაში ასახული მონაცემების კორექტირების მიზნით ისინი ცენტრის უფლებამოსილ თანამშრომლებს მიმართავდნენ და ელექტრონულ ფოსტაზე ფიზიკური პირების ჯანმრთელობასთან დაკავშირებულ ინფორმაციასა და დოკუმენტაციას უგზავნიდნენ. თავის მხრივ, ცენტრის თანამშრომლები, სამედიცინო დაწესებულებებთან კომუნიკაციის პროცესში, სამსახურებრივ ელექტრონულ ფოსტასთან ერთად პირად ელექტრონულ ფოსტას იყენებდნენ. აღნიშნულის შესახებ ცენტრი ინფორმირებული იყო და პირადი საკონტაქტო მონაცემის გამოყენება სამსახურებრივ ელექტრონულ ფოსტასთან დაკავშირებული გამოწვევებით (მეხსიერების სიმცირე და „ru“-ზე დაბოლოებული ელექტრონული ფოსტის მისამართებზე კომუნიკაციის ტექნიკური შეუძლებლობა) ახსნა. თავის მხრივ, საქმეში დაცული მტკიცებულებებით დადასტურდა სამსახურებრივი ელექტრონული ფოსტის მეხსიერების გაზრდის შესაძლებლობა. ამასთან, დადგინდა, რომ ცენტრს ეფექტიანი მეთოდებით სამედიცინო დაწესებულებებისათვის არ მიუწოდებია ინფორმაცია „ru“-ზე დაბოლოებული ელექტრონული ფოსტების გამოყენების შეზღუდვისა და მხოლოდ ცენტრის სამსახურებრივ ელექტრონულ ფოსტაზე კომუნიკაციის თაობაზე. საქმის შესწავლისას გამოვლინდა, რომ მომართვის ავტორთან შეცდომით გაგზავნილი შეტყობინებების თაობაზე ცენტრი საწყისი ეტაპიდანვე იყო ინფორმირებული, თუმცა მხოლოდ შეცდომის დამშვებ ცალკეულ სამედიცინო დაწესებულებასთან კომუნიკაციით შემოიფარგლა და არ გაუტარებია სათანადო პრევენციული ღონისძიებები.
მითითებულ საქმეში სამსახურმა პირადი და სამსახურებრივი ელექტრონული ფოსტის მისამართების სამსახურებრივი მიზნებისთვის გამოყენების გარკვეული ასპექტები შეაფასა. მაგალითად, გადაწყვეტილებაში აღინიშნა, რომ სამსახურებრივი ელექტრონული ფოსტის შექმნის შემთხვევაში დამსაქმებელი არსებითად მსგავსი მისამართების რეგისტრაციის რისკს ითვალისწინებს; ხოლო პირადი ელექტრონული ფოსტის მისამართის შექმნისას პირი სიმბოლოებს/დასახელებას თავად ირჩევს, რაც სხვა პირის პირადი ელექტრონული ფოსტის მისამართის მსგავსი შეიძლება იყოს. ამასთან, პირადი ელექტრონული ფოსტის მფლობელი უსაფრთხოების ზომების მიღებას საკუთარი შეხედულებით წყვეტს, რაც შესაძლებელია, სამსახურებრივი ელექტრონული ფოსტის ადმინისტრირების პროცესში უსაფრთხოების მიზნით განსახორციელებელი მოქმედებებისგან არსებითად განსხვავდებოდეს. გარდა ამისა, ვინაიდან პირადი ელექტრონული ფოსტა უწყების სერვერზე არ იყო განთავსებული, ცენტრი პროცესის მონიტორინგს ვერ ახორციელებდა, რაც მნიშვნელოვნად ამცირებდა დაწესებულების ეფექტიანი ჩარევის შესაძლებლობას პირად ელექტრონულ ფოსტაზე არსებული მონაცემების უსაფრთხოების, მათ შორის – დასაქმებული პირის მიერ მონაცემების შესაძლო გამოყენების (მაგალითად, სამსახურიდან განთავისუფლების შემთხვევაში) თვალსაზრისით.
ამასთან, ვინაიდან პირადი ელექტრონული ფოსტის მეშვეობით ჯანმრთელობასთან დაკავშირებული მონაცემების დამუშავებაც ხორციელდებოდა, სამსახურმა ყურადღება კანონის მე-6 მუხლზე გაამახვილა და განმარტა, რომ ცენტრის მიერ შერჩეული საშუალება მონაცემების დამუშავებასთან შეუთავსებელი იყო. ამასთან, მიუხედავად იმისა, რომ არსებობდა მონაცემთა დამუშავების საფუძველი, მონაცემთა დამუშავების ფაქტობრივი პროცესი კანონს არ შეესაბამებოდა.
ზემოაღნიშნული გარემოებები მიუთითებდა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლის (მონაცემთა უსაფრთხოება) დარღვევაზე, რის გამოც სსიპ „ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნული ცენტრი“ სამართალდამრღვევად იქნა ცნობილი კანონის 76-ე მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის საფუძველზე.
მსგავსი გადაწყვეტილებები
საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღების პერსონალური მონაცემების გამჟღავნების კანონიერება
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე ერთერთი საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღე...
ვიდეომონიტორინგი სკოლებში და კოლეჯებში
სამსახურმა გეგმურად შეამოწმა 2 (ორი) სახელმწიფო პროფესიული საგანმანათლებლო დაწესებულება/კოლეჯის (შემდგომში ― კოლეჯი), ასევე 3 (სამი) საჯარო და 3 (სამი...
ვიდეო-აუდიომონიტორინგი
ვიდეოკამერების სისტემები სხვადასხვა სახის, დიდი მოცულობით პერსონალური მონაცემების დამუშავების (მოპოვების, ჩაწერის, შენახვის) შესაძლებლობას იძლევა. ამა...