. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში

სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება; 2 (ორი) საჯარო და 2 (ორი) კერძო სკოლის მიერ მოსწავლეთა დისციპლინური გადაცდომების შესახებ მონაცემების დამუშავების კანონიერება; 2 (ორი) საჯარო რესურსსკოლის მიერ ინდივიდუალური სასწავლო გეგმების შექმნისა და შენახვის გზით სპეციალური საგანმანათლებლო საჭიროების მქონე (სსსმ) მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება. შემოწმებების მიმდინარეობის პერიოდში აღნიშნულ სკოლებში დამუშავებული იყო 7000-ზე (შვიდი ათასზე) მეტი მოსწავლის მონაცემები, რომელთა შორის 100 (ასი) შშმ სსსმ მოსწავლე იყო.

ელექტრონული ჟურნალები

შემოწმების შედეგად გამოიკვეთა სკოლების მიერ მონაცემთა უსაფრთხოებასთან დაკავშირებული დარღვევები. კერძოდ, ერთ-ერთი კერძო სკოლის შემთხვევაში ელექტრონულ ჟურნალში, ასევე – მის მონაცემთა ბაზაში მოსწავლეთა პერსონალური მონაცემების მიმართ განხორციელებულ მოქმედებები არ აღირიცხებოდა, ხოლო მეორე შემთხვევაში ელექტრონულ ჟურნალში განხორციელებული მოქმედებები არასრულად აღირიცხებოდა (კერძოდ, არ აღირიცხებოდა დათვალიერება და ექსპორტი). 2 (ორი) სკოლაში ელექტრონული ჟურნალების მეშვეობით მონაცემებზე წვდომის განმახორციელებელი პირები არ სარგებლობდნენ განპიროვნებული მომხმარებლის ანგარიშებით. გარდა ამისა, გამოიკვეთა შემთხვევა, როდესაც ელექტრონული ჟურნალის მონაცემთა ბაზაზე „ადმინისტრატორის“ როლის მქონე მომხმარებლით წვდომის შესაძლებლობა შენარჩუნებული ჰქონდა სკოლის ყოფილ თანამშრომელს. ამასთან, მოქმედ ელექტრონულ ჟურნალში ერთ-ერთი სკოლა იყენებდა მარტივ პაროლებს. სისტემის მონაცემთა ბაზას არ ჰქონდა პაროლების შიფრაცია, ხოლო სისტემაში დარეგისტრირებულ მომხმარებელს – პაროლის თავად შეცვლის უფლება. აღნიშნული შესაძლებლობა ჰქონდა მხოლოდ „ადმინისტრატორის“ როლის მქონე მომხმარებელს. გარემოებებიდან გამომდინარე, იქმნებოდა მონაცემთა უკანონოდ დამუშავების მნიშვნელოვანი რისკები. შემოწმების შედეგად ასევე დადგინდა, რომ ერთ-ერთი სკოლა, მოსწავლის რეგისტრაციის მიზნით, ელექტრონულ ჟურნალში მოსწავლის ბარათში აგრეთვე უთითებდა ინფორმაციას ელექტრონული ფოსტისა და მისამართის შესახებ. ამასთან, ხსენებული ელექტრონული ფოსტის მისამართი ხშირ შემთხვევაში რეალური არ იყო, ხოლო მისამართის ველში ყოველთვის მიეთითებოდა არა შესაბამისი მოსწავლის, არამედ – სკოლის მისამართი. სამსახურის განმარტებით, აღნიშნული გარემოება შეიცავდა საფრთხეს, რომ ელექტრონული ჟურნალის რომელიმე მომხმარებელს გაუჩნდებოდა არაზუსტი აღქმა ხსენებული მონაცემების ნამდვილობასთან დაკავშირებით, რაც, თავის მხრივ, ქმნიდა მათი მხრიდან არაზუსტი მონაცემების დამუშავების რისკს. შემოწმების შედეგად ასევე დადგინდა, რომ რიგ შემთხვევებში სკოლების მიერ არ იყო შეფასებული ელექტრონული ჟურნალის მეშვეობით მოსწავლეთა მონაცემების შენახვის ვადები, ასევე – ამ ვადების ამოწურვის შემდეგ მონაცემთა მიმართ გასატარებელი ღონისძიებები.

დისციპლინური წარმოება

სკოლების მიერ მოსწავლეთა დისციპლინური გადაცდომების შესახებ მონაცემების დამუშავების კანონიერების შესწავლის პროცესში ასევე გამოიკვეთა ხარვეზები მონაცემთა შენახვის ხანგრძლივობის საკითხთან დაკავშირებით. კერძოდ, ერთ-ერთ შემთხვევაში მოსწავლის დისციპლინური წარმოების  მატერიალური ფორმით არსებული საქმის მასალების შენახვისთვის საჭირო ვადების საკითხი სკოლას არ ჰქონდა შეფასებული; ხოლო, მართალია, სხვა შემთხვევაში აღნიშნული საკითხი სკოლას შეფასებული ჰქონდა, თუმცა იგი პერსონალურ მონაცემებს შენახვისთვის საჭირო ვადაზე უფრო ხანგრძლივად ინახავდა. ასევე გამოიკვეთა მონაცემთა უსაფრთხოებასთან დაკავშირებული პრობლემაც. კერძოდ, ერთ-ერთი სკოლის შემთხვევაში მატერიალური დოკუმენტაციის ნაწილი ინახებოდა უფლებამოსილი თანამშრომლის ― სკოლის საქმისმწარმოებლის სამუშაო ოთახში მდებარე დახურულ კარადაში (რომელიც არ იკეტებოდა საკეტით) დაცულ საქაღალდეში. მათ შორის აღნიშნული ოთახით სარგებლობდა სკოლის ბუღალტერი, რომელსაც პერსონალურ მონაცემებზე წვდომა არ ესაჭიროებოდა, თუმცა მას აღნიშნულის შესაძლებლობა ჰქონდა. სამსახურმა განმარტა, რომ განსახილველ შემთხვევაში მატერიალური ფორმით შენახული მონაცემების ფიზიკურ უსაფრთხოებასთან დაკავშირებით გატარებული ორგანიზაციულ-ტექნიკური ზომა არ წარმოადგენდა მოსწავლეთა მონაცემებზე არაუფლებამოსილ პირთა მხრიდან წვდომის პრევენციის ადეკვატურ საშუალებას.

რესურსსკოლები

რესურსსკოლების მიერ ინდივიდუალური სასწავლო გეგმების შექმნისა და შენახვის გზით, მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერების შემოწმების ფარგლებში, გამოიკვეთა მონაცემთა უსაფრთხოების დაცვასთან დაკავშირებული ნაკლოვანებები. ერთ-ერთ შემთხვევაში სამსახურის მიერ მონაცემთა უსაფრთხოებისთვის რისკის შემცველად შეფასდა სკოლის საქმისმწარმოებლის მიერ, კერძოდ, განსაკუთრებული კატეგორიის მონაცემების შემცველი მულტიდისციპლინური გუნდის დასკვნის მოსწავლეთა დამრიგებლებისთვის პირად ელექტრონულ ფოსტაზე გაგზავნის ფაქტები. სამსახურმა განმარტა, რომ პირად ელექტრონულ ფოსტას დამსაქმებელი ორგანიზაცია არ აკონტროლებს და, შესაბამისად, ასეთ შემთხვევაში დამსაქმებელს არ აქვს ეფექტიანი შესაძლებლობა, მიიღოს მონაცემთა რისკების ადეკვატური ორგანიზაციულ-ტექნიკური ზომები აღნიშნული სისტემებით დამუშავებული პერსონალური მონაცემების დაცვის მიზნით; თანამშრომელთან შრომითი ურთიერთობის შეწყვეტის შემთხვევაში კი არსებობს მნიშვნელოვანი რისკი, რომ ამ სისტემებში პერსონალური მონაცემების შენახვა გაგრძელდება და მათზე წვდომის შესაძლებლობა ექნება არაუფლებამოსილ პირს (ყოფილ თანამშრომელს). სამსახურმა აგრეთვე იმსჯელა სკოლის მასწავლებლების მიერ არქივის ფორმატის, პაროლით დაცული ინდივიდუალური საქაღალდეების სკოლის კომპიუტერებში, საოპერაციო სისტემის საერთო მომხმარებლის ანგარიშის გამოყენებით, შენახვის ფაქტზე. მართალია, საქაღალდეები დაცული იყო შესაბამისი პაროლებით, თუმცა არსებობდა არაუფლებამოსილი პირების მიერ არქივის ფორმატის საქაღალდის შემთხვევითი წაშლის რისკები, ვინაიდან, გარდა მასწავლებლებისა, აღნიშნული კომპიუტერებით საგაკვეთილო სწავლების ფარგლებში სარგებლობდნენ მოსწავლეებიც. 

მეორე რესურსსკოლის შემოწმების ფარგლებში ასევე გამოიკვეთა, რომ ინდივიდუალური სასწავლო გეგმების ნაწილი მატერიალური ფორმით ინახებოდა საქმისმწარმოებლის სამუშაო ოთახში არსებული ღია კარადის თაროებზე, ამ ოთახში საქმისმწარმოებელთან ერთად კი თავის სამსახურებრივ ფუნქციებს ახორციელებდა სკოლის ბუღალტერიც, რომელსაც სათანადო საჭიროების გარეშე წვდომის შესაძლებლობა ჰქონდა სსსმ მოსწავლეთა ინდივიდუალურ სასწავლო გეგმებზე. სამსახურმა ყურადღება გაამახვილა მოსწავლეების მონაცემების შემცველი ინდივიდუალური საგნობრივი გეგმის ნიმუშების, „Ms Word“ ფორმატის დოკუმენტების სახით სკოლის მასწავლებელთა პაროლით დაუცველ სამუშაო (პორტატულ) კომპიუტერებში შენახვის საკითხზეც. პერსონალური მონაცემების შემცველი, მათ შორის, განსაკუთრებული კატეგორიის მონაცემების დამუშავება (შენახვა) ქმნიდა მონაცემებზე არაუფლებამოსილი პირების წვდომისა და მონაცემთა უკანონოდ დამუშავების რისკებს. სამსახურის გადაწყვეტილებით, ზემოხსენებულ დარღვევებთან დაკავშირებით 3 (სამი) სკოლა ცნობილ იქნა სამართალდამრღვევად კანონის 76-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში. იმავდროულად, სკოლებს დაევალათ შემოწმებისას გამოვლენილი დარღვევების აღმოფხვრა.