2024-10-16

სსიპ  „ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნული ცენტრი

---

პერსონალურ მონაცემთა დაცვის სამსახურმა გეგმურად შეისწავლა სსიპ  „ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნული ცენტრის“ (შემდგომში – ცენტრი) მიერ დაავადებათა ადრეული გამოვლენისა და სკრინინგის სახელმწიფო პროგრამის განხორციელებისას, ძუძუსა და საშვილოსნოს ყელის კიბოს სკრინინგის ფარგლებში, კიბოს ერთიანი საინფორმაციო სისტემის საშუალებით პერსონალური მონაცემების დამუშავების კანონიერება. აღსანიშნავია, რომ, მითითებული მომსახურების ფარგლებში, ცენტრის საქმიანობა დაკავშირებულია ქალთა მნიშვნელოვანი მოცულობის პერსონალური, მათ შორის – განსაკუთრებული კატეგორიის მონაცემების დამუშავებასთან. სისტემის მეშვეობით შემოწმების პერიოდისთვის დამუშავებული იყო 159 364 (ას ორმოცდაცხრამეტი ათას სამას სამოცდაოთხი) ბენეფიციარის მონაცემები.

შემოწმების ფარგლებში დადგინდა, რომ კიბოს ერთიანი საინფორმაციო სისტემის ადმინისტრირების პროცესში ცენტრს ტექნიკურ მხარდაჭერას უწევს სსიპ  „ინფორმაციული ტექნოლოგიების სააგენტო“ (შემდგომში ― სააგენტო), რომელიც სამინისტროსა და მის დაქვემდებარებაში არსებული საჯარო სამართლის იურიდიული პირების ინფორმაციული ტექნოლოგიების მხარდაჭერის მიზნით არის შექმნილი. მოცემულ შემთხვევაში დადგინდა, რომ ქვეპროგრამის განხორციელების ფარგლებში როგორც ცენტრის, ასევე სააგენტოს მიერ არ იყო მიღებული უსაფრთხოების სათანადო ტექნიკური და ორგანიზაციული ზომები, რაც კანონის 27-ე მუხლის დარღვევას წარმოადგენს.

კერძოდ, კიბოს ერთიანი საინფორმაციო სისტემის მეშვეობით პროგრამის ფარგლებში დამუშავებულ მონაცემებზე წვდომა ჰქონდა ცენტრის 31 (ოცდათერთმეტ) თანამშრომელს, რომელთა უმრავლესობას მათზე დაკისრებული მოვალეობების შესასრულებლად აღნიშნული წვდომის საჭიროება არ ჰქონდა; მონაცემთა უსაფრთხოებისთვის კი აუცილებელია მონაცემთა დამუშავების პროცესები წარიმართოს იმ ფორმით, რომ მასზე წვდომა მხოლოდ შესაბამისი საჭიროების მქონე პირებს ჰქონდეთ. ამავდროულად, შეფასებული, გათვალისწინებული და მაქსიმალურად შემცირებული უნდა იქნეს გარეშე პირების მიერ მონაცემებზე წვდომისა და გამოყენების საფრთხეები; ხსენებული მომხმარებლებისთვის კიბოს ერთიან საინფორმაციო სისტემაზე წვდომის უფლების გაუქმება კი ცენტრმა სააგენტოს მოსთხოვა მხოლოდ შემოწმების მიმდინარეობის ფარგლებში. შესაბამისად, წვდომის უფლების გაუქმების მოთხოვნამდე ცენტრის მიერ არ იყო გათვალისწინებული შესაბამისი უსაფრთხოების ზომები, რაც მონაცემებზე არაუფლებამოსილ პირთა დაშვებას შეზღუდავდა. ამასთანავე, ცენტრის თანამშრომლების მიერ კიბოს ერთიანი საინფორმაციო სისტემის მეშვეობით მონაცემების მიმართ განხორციელებული მოქმედებებიდან არ აღირიცხებოდა მონაცემების დათვალიერება და ექსპორტი; სისტემის მონაცემთა ბაზიდან კიბოს ერთიან საინფორმაციო სისტემაში დაცულ ინფორმაციაზე პირდაპირი წვდომის შემთხვევაში კი არ აღირიცხებოდა მონაცემთა მიმართ განხორციელებული მოქმედებები.

სამსახურის გადაწყვეტილებით სსიპ  „ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნული ცენტრი“ და სსიპ  „ინფორმაციული ტექნოლოგიების სააგენტო“ ცნობილ იქნენ სამართალდამრღვევებად „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 76-ე მუხლის პირველი პუნქტების „ა“ ქვეპუნქტით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში და ადმინისტრაციული სახდელის სახით შეეფარდათ გაფრთხილება. ამავდროულად, სსიპ  „ინფორმაციული ტექნოლოგიების სააგენტოს“ დაევალა მონაცემთა უსაფრთხოების დასაცავად სათანადო ორგანიზაციულ-ტექნიკური ზომების მიღება.