2022-10-25

საჯარო დაწესებულების მიერ ,, ქმედუუნაროდ/შეზღუდულქმედუნარიანად აღიარებულ სრულწლოვან პირთა ბაზაში " პერსონალურ მონაცემთა დამუშავების კანონიერება

---

შემოწმებით დადგინდა, რომ ერთ-ერთი საჯარო დაწესებულების ელექტრონულ ბაზაში ასახულია ქმედუუნაროდ/შეზღუდულქმედუნარიანად აღიარებული/მხარდაჭერის მიმღებად ცნობილი სრულწლოვანი პირების მონაცემები. კერძოდ, ელექტრონულ პორტალში რეგისტრირდება შესაბამისი იურიდიული აქტები, რა პროცესშიც შესაბამის უფლებამოსილ პირებს (შეზღუდული პირთა წრე) მიეწოდებათ ინფორმაცია პირის ბაზაში რეგისტრაციის შესახებ შემდეგი წარწერით - „პიროვნება სასამართლოს გადაწყვეტილებით მიჩნეულია ქმედუუნაროდ“. აღსანიშნავია, რომ ელექტრონულ ბაზაში ასახვის და ასახული ინფორმაციის განახლების მიზნით, ინფორმაციას აღნიშნული საჯარო დაწესებულება მოიპოვებს მეურვეობისა და მზრუნველობის განმახორციელებელი შესაბამისი დაწესებულებებიდან. შემოწმების ფარგლებში ასევე გამოვლინდა, რომ პორტალი და მისი მონაცემთა ბაზა განთავსებულია სხვა საჯარო დაწესებულების კუთვნილ სერვერზე, რომელიც მის ტექნიკურ ადმინისტრირებას ახორციელებდა და პორტალის მონაცემთა ბაზაზე მონაცემთა ადმინისტრირების უფლებით, პირდაპირი წვდომა გააჩნდა.

აღნიშნულ საკითხთან დაკავშირებით, სამსახურმა დაადგინა მონაცემთა დამუშავების საფუძვლებსა და პრინციპებთან შეუსაბამობა.

პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილებით აღინიშნა, რომ სახელმწიფოს პოზიტიური ვალდებულებაა, საზოგადოებრივი ცხოვრების ყველა სფეროში უზრუნველყოს შეზღუდულქმედუნარიანი/მხარდაჭერის მიმღები პირების მონაწილეობა და მათი უფლებების ჯეროვნად რეალიზებისთვის შექმნას სათანადო პირობები. აღნიშნული ასევე გულისხმობს ფსიქოსოციალური საჭიროებების მქონე პირთა უფლებებზე ორიენტირებული და მათ საჭიროებებზე მორგებული პროცედურული მექანიზმების შემუშავების გზით, შესაბამისი მონაცემთა სუბიექტების სრულფასოვანი მონაწილეობის უზრუნველყოფას ადმინისტრაციულ წარმოებაში და სხვა. საყურადღებოა, რომ შეზღუდულქმედუნარიანი/მხარდაჭერის მიმღები პირები საკუთარი უფლებების განხორციელების რიგ პროცესებში დამოუკიდებლად მონაწილეობენ, სამართალურთიერთობათა ნაწილში კი - მზრუნველის/მხარდამჭერის საშუალებით. ამასთან, იურიდიული მოქმედების მართლზომიერებისთვის მნიშვნელოვანია, რომ ამ მოქმედების განმახორციელებელი პირი სათანადოდ იყოს ინფორმირებული სამართლებრივი ურთიერთობის მონაწილეთა მიერ ნამდვილი, ინფორმირებული ნების გამოხატვის უნარებისა და ამ თვალსაზრისით არსებული საჭიროებების შესახებ. როგორც შემოწმების ფარგლებში გამოიკვეთა, ელექტრონული ბაზის საშუალებით აღნიშნულის შესახებ შესაბამისი უფლებამოსილი პირებისათვის ინფორმაციის მიწოდება სამართალურთიერთობათა მონაწილეების უფლებებისა და საუკეთესო, რიგ შემთხვევაში კი — სასიცოცხლო ინტერესების ჯეროვნად განხორციელებას და შეზღუდულქმედუნარიანად აღიარებული/მხარდაჭერის მიმღებად ცნობილი პირების ინტერესებისთვის არასასურველი შედეგების დადგომის თავიდან აცილებას ემსახურება. 

შემოწმებისას დადგინდა, რომ მონაცემთა დამმუშავებელს არ აქვს განსაზღვრული ელექტრონულ ბაზაში „შენიშვნის“ გრაფაში ასახული მონაცემების, მათ შორის, მხარდამჭერის/მეურვის სახელის, გვარის, პირადი ნომრის და ა.შ., დამუშავების კონკრეტული და მკაფიო მიზნები. აღნიშნული კი წარმოადგენს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-4 მუხლით დადგენილი მოთხოვნების დარღვევას და ამავე კანონის 44-ე მუხლის პირველი პუნქტით განსაზღვრული ადმინისტრაციული პასუხისმგებლობის დაკისრების საფუძველს.

სამსახურმა მონაცემთა დამუშავების მიზნის შეზღუდვის პრინციპის სათანადოდ დაცვისთვის აუცილებელად მიიჩნია, რომ მონაცემთა დამმუშავებელმა შეაფასოს ელექტრონულ ბაზაში „შენიშვნის“ გრაფაში ასახული მონაცემებიდან თითოეულის დამუშავების კონკრეტული და კანონიერი მიზანი, აღნიშნულთან შესაბამისობაში მოიყვანოს შესაბამისი მარეგულირებელი სამართლებრივი აქტები და ელექტრონულ ბაზაში, შესაბამისი სახელწოდების გრაფებში სისტემატიზებულად დაამუშავოს მხოლოდ სათანადო მიზნის პროპორციული და ადეკვატური მონაცემები.

ამავე შემოწმების ფარგლებში, ასევე გამოიკვეთა ელექტრონულ ბაზაში არსებული მონაცემების სრულად განახლების, ნამდვილობისა და სიზუსტის საკითხიც. საყურადღებოა, რომ ელექტრონულ ბაზაში არსებული მონაცემების სიზუსტეზეა დამოკიდებული მონაცემთა სუბიექტების მიერ შესაბამის იურიდიულ მოქმედებებთან დაკავშირებული საკუთარი სამართლებრივი ურთიერთობების ჯეროვნად განხორციელების შესაძლებლობა.

აღნიშნული შემოწმების ფარგლებში ასევე გამოიკვეთა უფლებამოსილი პირის მეშვეობით მონაცემთა დამუშავების წესების დარღვევა. დადგინდა, რომ მონაცემთა დამმუშავებელი ელექტრონული ბაზის მეშვეობით მონაცემთა დამუშავების (მათ შორის, შენახვის) პროცესში სარგებლობდა უფლებამოსილი პირის მომსახურებით, თუმცა აღნიშნული გარემოება არ ეყრდნობოდა არც სამართლებრივ აქტს და არც კანონის შესაბამისად დადებულ ხელშეკრულებას, რაც „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-16 მუხლით გათვალისწინებული მოთხოვნების დარღვევაა და ამავე კანონის 51-ე მუხლის პირველი პუნქტით გათვალისწინებული პასუხისმგებლობის დაკისრების საფუძველს წარმოადგენს.

ამავე შემოწმების ფარგლებში გამოიკვეთა პერსონალურ მონაცემთა უსაფრთხოებასთან დაკავშირებული წესების დარღვევაც. დადგინდა, რომ პორტალის მომხმარებელთა ავტორიზაციისათვის გამოყენებულია ინდივიდუალური მომხმარებელი და პაროლი. ამასთან, პორტალს გააჩნდა მონაცემთა მიმართ განხორციელებული მოქმედებების აღრიცხვის ელექტრონული ჟურნალი (ე. წ. „ლოგირება“), თუმცა სისტემაში აღირიცხებოდა მხოლოდ მომხმარებლის მიერ დარეგისტრირებული იურიდიული მოქმედების შესახებ ინფორმაცია. სისტემა არ აღრიცხავდა შემდეგ მოქმედებებს: სისტემაში შესვლა/გასვლა, დოკუმენტის მოძიება, დოკუმენტის გახსნა/დათვალიერება/გადმოწერა. ამასთან, ადგილზე შემოწმებისას დადგინდა, რომ პორტალის მომხმარებელთა პაროლები ბაზაში ინახებოდა დაუშიფრავად, ღია სახით.

საბოლოოდ, შემოწმებისას დადგენილი დარღვევების საფუძველზე, პერსონალურ მონაცემთა დაცვის სამსახურმა მონაცემთა დამმუშავებელი საჯარო დაწესებულება სცნო სამართალდამრღვევად „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 44-ე, 46-ე და 51-ე მუხლების პირველი პუნქტებით გათვალისწინებული ადმინისტრაციული სამართალდარღვევების ჩადენაში და დააჯარიმა. ამასთან, სამართალდამრღვევს მიეცა შესაბამისი დავალებები და განესაზღვრა მათი შესრულების ვადები.