+995 32 242 1000
office@pdps.ge
. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2023-12-19
მონაცემთა უსაფრთხოება
სამართალდამცავი ორგანოები პერსონალურ მონაცემებს ყოველდღიურად ამუ-
შავებენ სხვადასხვა ფორმით. აღნიშნულ გარემოებათა გათვალისწინებით კიდევ უფრო
მეტ მნიშვნელობას იძენს მონაცემების დაცულობის ხარისხი. კერძოდ, მონაცემებზე
არამიზნობრივი წვდომისა თუ გამოყენების პრევენციის მიზნით აღნიშნული უწყებების
მიერ მონაცემთა უსაფრთხოებისათვის მიღებული ზომების კონტროლი.
მონაცემთა უსაფრთხოების დაცვის სტანდარტები დადგენილია „პერსონალურ
მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლით. მონაცემთა
დამმუშავებლებმა მაქსიმალურად უნდა შეამცირონ მონაცემზე არაკანონიერი წვდომისა
თუ გამჟღავნების რისკები და ამ მიზნით მიღებული ორგანიზაციულ-ტექნიკური ზომები
უნდა იყოს აღნიშნული რისკების ადეკვატური. თავის მხრივ, რისკების არასათანადო
შეფასებამ ან შესაბამისი ორგანიზაციულ-ტექნიკური ზომების მიუღებლობამ შესაძლოა,
შექმნას მონაცემების უკანონო დამუშავების საფრთხე და ზიანი მიაყენოს მოქალაქეების
ინტერესებს.
მონაცემთა დამმუშავებლებმა მნიშვნელოვანია, პერიოდულად მიაწოდონ დასა-
ქმებულებს ინფორმაცია მონაცემთა უსაფრთხოების წესებისა და მათი დარღვევის
თანმდევი შედეგების შესახებ მონაცემთა პირადი მიზნებით დამუშავების შემთხვევების
პრევენციისათვის.
საანგარიშო პერიოდში, სამართალდამცავი ორგანოების მიერ მონაცემთა უსა-
ფრთხოების წესების დარღვევის კუთხით კონკრეტული შემთხვევების შესწავლის
შედეგად გამოვლინდა შემდეგი ნაკლოვანებები:
— საანგარიშო პერიოდში სამსახურმა ასევე განახორციელა საქართველოს შინაგან
საქმეთა სამინისტროს გეგმური შემოწმება, რომელიც მოიცავდა დროებითი
მოთავსების უზრუნველყოფის დეპარტამენტის დროებითი მოთავსების
იზოლატორებში მოთავსებულ პირთა განსაკუთრებული კატეგორიის პერსონალური
მონაცემების შემცველი სამედიცინო ჩანაწერების შენახვის კანონიერების
საკითხის შესწავლას. სამინისტროს კანონმდებლობით განსაზღვრული ჰქონდა
სამედიცინო დოკუმენტაციის შენახვის ვადები, თუმცა შესწავლის პროცესმა
გამოავლინა კონკრეტული ნაკლოვანება. კერძოდ, დროებითი მოთავსების
იზოლატორში არსებული სამედიცინო მუშაკების სამუშაო სივრცეში არსებული
კომპიუტერზე 8 (რვა) პირს წვდომა ჰქონდა საერთო მომხმარებლის სახელითა და
პაროლით. ხარვეზის აღმოსაფხვრელად კი მონაცემთა დამმუშავებელს დაევალა
ინდივიდუალური დაშვების მექანიზმის შექმნა უსაფრთხოების მაღალი სტანდარტის უზრუნველსაყოფად. დავალება შესრულების ეტაპზეა. მნიშვნელოვანია უწყებებმა
ჯეროვანი ყურადღება მიაქციონ მონაცემთა უსაფრთხოების ისეთ საკითხებს,
რითაც არაუფლებამოსილ პირთა ხელმისაწვდომობა მაქსიმალურად გამოირიცხება
განსაკუთრებული კატეგორიის მონაცემების შემცველ დოკუმენტაციაზე;
— ელექტრონული კომუნიკაციების კომპანიების არაგეგმურმა შემოწმებებმაც
გამოავლინა ხარვეზები მონაცემთა უსაფრთხოების მიმართულებით. სამსახურმა
შეისწავლა როგორც შპს „სელფი მობაილის“, ასევე, სს „სილქნეტის“ მიერ სსიპ
„საქართველოს ოპერატიულ-ტექნიკური სააგენტოს“ ელექტრონული კომუნიკაციის
მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში აღრიცხვის მიზნით სსიპ
„საქართველოს ოპერატიულ-ტექნიკური სააგენტოსათვის“ მონაცემების გადაცემის
პროპორციულობის საკითხი;
— შპს „სელფი მობაილის“ შემოწმებამ ცხადყო, რომ კომპანია არ აღრიცხავდა
სააგენტოსათვის მონაცემების გადაცემის მიზნით გამოყოფილ სერვერზე
განხორციელებულ მოქმედებებს, რა ნაწილშიც დადგინდა სამართალდარღვევის
ფაქტი და დაევალა კომპანიას, აღერიცხა სააგენტოსათვის მონაცემების
გადაცემის მიზნით გამოყოფილ სერვერზე ელექტრონული მონაცემების მიმართ
განხორციელებული მოქმედებები. მონაცემთა დამმუშავებელმა საანგარიშო
პერიოდში წარმოადგინა ინფორმაცია დავალებების შესრულების თაობაზე;
— რაც შეეხება სს „სილქნეტის“ შემოწმებას, დაფიქსირდა ინციდენტი, რომლის
ფარგლებშიც კომპანიის მხრიდან სააგენტოს 2023 წელს რამდენჯერმე მიეწოდა იმ
მომხმარებელთა შესახებ ინფორმაცია, რომლებსაც კომპანიასთან 4 (ოთხი) წელზე
მეტია შეწყვეტილი ჰქონდათ მომსახურების ხელშეკრულება, რაც, მონაცემთა
დამმუშავებლის განმარტებით, წარმოადგენდა ტექნიკურ ხარვეზს. აღნიშნული
გარემოებების გათვალისწინებით, კომპანია ცნობილ იქნა სამართალდამრღვევად
მონაცემთა უსაფრთხოების წესების დარღვევისათვის, ვინაიდან ვერ აირიდა
ინციდენტი, რომელმაც გამოიწვია სააგენტოსთვის ძველი მონაცემების გადაცემა.
კომპანიას, ასევე, დაევალა შესაბამისი ორგანიზაციულ-ტექნიკური ზომების მიღება,
რომელიც უზრუნველყოფდა სააგენტოსათვის კანონით დადგენილი მონაცემების
მიწოდებას და გამორიცხავდა შეუსაბამო მონაცემების გამჟღავნებას. დავალებების
შესრულების ვადა მოცემული მომენტისთვის გასული არ არის;
— გეგმური შემოწმების ფარგლებში შესწავლილი ერთ-ერთი საქმე უკავშირდებოდა
საქართველოს შინაგან საქმეთა სამინისტროს მიერ თავშესაფრის მაძიებელთა
ბიომეტრიული მონაცემების – თითის ანაბეჭდების – დამუშავების კანონიერების
საკითხს. შესწავლის პროცესში მოპოვებული ინფორმაცია/დოკუმენტაციით
დადგინდა, რომ სამინისტროში მოქმედებს რიგი სამართლებრივი აქტები
თავშესაფრის მაძიებელთა ბიომეტრიული მონაცემების (თითის ანაბეჭდები)
უსაფრთხოებისათვის, თუმცა „თავშესაფრის მაძიებელთა და საერთაშორისო დაცვის
მქონე პირთა მონაცემთა ბაზაში (ვებაპლიკაცია)“ არ აღირიცხებოდა მომხმარებელთა
ავტორიზაციისა და მონაცემთა ბაზაში არსებული თავშესაფრის მაძიებლის
მონაცემების მოძიების/დათვალიერების მოქმედებები (ლოგჩანაწერები), რის გამოც
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლის მე-2
პუნქტის შესაბამისად სამინისტროს დაევალა აღნიშნულის უზრუნველყოფა, რაც
შესრულებულია;
— უსაფრთხოების კუთხით, ანალოგიური და სხვა დარღვევები გამოიკვეთა
გეგმური შემოწმების ფარგლებში საჯარო სამართლის იურიდიული პირი -
დანაშაულის პრევენციის, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის
ეროვნული სააგენტოს ადმინისტრაციულ შენობაში, კანონით დადგენილ რეჟიმს
დაქვემდებარებულ პირთა გამოცხადების სივრცეში, ვიდეოთვალთვალის განხორ-
ციელების გზით მონაცემთა დამუშავების კანონიერების საკითხის შესწავლისას;
— სახელმწიფო დაცვის სპეციალური სამსახურის გეგმური შემოწმების ფარგლებში,
რომელიც მოიცავდა აღნიშნული სამსახურის მიერ მათთან დასაქმებული
პირების კორპორაციულ ქსელში ჩართულ ტელეფონების ნომრებზე, შემავალი და
გამავალი ზარებისა და მოკლე ტექსტური შეტყობინებების შესახებ ელექტრონული
კომუნიკაციების კომპანიებიდან ინფორმაციის გამოთხოვისა და შენახვის
კანონიერების საკითხის შესწავლას, დადგინდა, რომ სამსახურის გენერალური
ინსპექციის (დეპარტამენტი) ამ ინფორმაციის მოპოვებასთან დაკავშირებული
მოთხოვნები არ აღირიცხებოდა; მათ შორის, არ აღირიცხებოდა კომპანიებიდან
მიღებული ინფორმაციის ადრესატისათვის გადაცემის, ხოლო შემდგომ – მისი წაშლის/
განადგურების ფაქტები, რაც შეუძლებელს ხდიდა, კონკრეტულად განსაზღვრულიყო
ამა თუ იმ საანგარიშო პერიოდისათვის ელექტრონული კომუნიკაციების
კომპანიებიდან ინფორმაციის გამოთხოვის ფაქტების რაოდენობა. ასევე, შეუძლებელი
იყო შემდგომ ამ ინფორმაციის მიმართ შესრულებული მოქმედებების კანონიერების
შეფასება, რაც თავისთავად ზრდიდა აღნიშნულ მონაცემთა შემთხვევითი ან უკანონო
დამუშავების რისკებს. ამდენად, აღნიშნულ ნაწილში მონაცემთა დამმუშავებელს
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლის მე-2
პუნქტის შესაბამისად დაეკისრა ადმინისტრაციული პასუხისმგებლობა.
მსგავსი გადაწყვეტილებები
საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღების პერსონალური მონაცემების გამჟღავნების კანონიერება
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე ერთერთი საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღე...
ვიდეომონიტორინგი სკოლებში და კოლეჯებში
სამსახურმა გეგმურად შეამოწმა 2 (ორი) სახელმწიფო პროფესიული საგანმანათლებლო დაწესებულება/კოლეჯის (შემდგომში ― კოლეჯი), ასევე 3 (სამი) საჯარო და 3 (სამი...
ვიდეო-აუდიომონიტორინგი
ვიდეოკამერების სისტემები სხვადასხვა სახის, დიდი მოცულობით პერსონალური მონაცემების დამუშავების (მოპოვების, ჩაწერის, შენახვის) შესაძლებლობას იძლევა. ამა...