. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2025-07-08
პერსონალურ მონაცემთა დაცვის სამსახურმა არაგეგმური შემოწმების (ინსპექტირების) ფარგლებში შეისწავლა ერთ-ერთი კომპანიის მიერ პერსონალურ მონაცემთა სხვა სახელმწიფოში შესაძლო კანონდარღვევით გადაცემის ფაქტი. აღნიშნული კომპანია მომხმარებლებს სთავაზობს აპლიკაციის საშუალებით მიტანის სერვისით მომსახურებას.
შემოწმების ფარგლებში დადგინდა, რომ ინტერნეტ კავშირის მონიტორინგის პროცესში აპლიკაცია დაუკავშირდა ევროკავშირის ქვეყნებში, ამერიკის შეერთებულ შტატებში, სინგაპურსა და ბრაზილიაში განთავსებულ სერვერებს. კერძოდ, გამოიკვეთა, რომ ამერიკის შეერთებულ შტატებში გადაიცემა შემდეგი პერსონალური მონაცემები: მომხმარებლის/მონაცემთა სუბიექტის ადგილმდებარეობის, ელექტრონული ფოსტის, სატელეფონო ნომრის, სახელის, მომხმარებლის მოწყობილობის (მოწყობილობის ბრენდის, მოდელის, ოპერაციული სისტემის და სხვა ტექნიკური მახასიათებლების შესახებ მონაცემები), მომხმარებლის/მონაცემთა სუბიექტის მიერ შეკვეთის გამოძახების ლოკაციის შესახებ ინფორმაცია. ამასთან, კომპანიას იმგვარად აქვს ორგანიზებული აპლიკაციის საშუალებით საქართველოს ტერიტორიიდან რეგისტრირებული მომხმარებლების პერსონალური მონაცემების დამუშავების ტექნიკური პროცესი, რომ მისი ფუნქციონირებისას, ამერიკის შეერთებულ შტატებში, სინგაპურსა და ბრაზილიაში მდებარე სერვერებთან ქსელური კავშირის დამყარების დროს, სერვერებისათვის ცნობილი ხდება აპლიკაციის მოწყობილობის გლობალური ქსელური მისამართი/„IP Address“-ი, შესაბამისად, სახეზეა ქსელური მისამართის/„IP Address“-ის სხვა სახელმწიფოსათვის გადაცემის (ხელმისაწვდომობის) ფაქტი.
სამსახურს კომპანიისთვის პერსონალურ მონაცემთა საერთაშორისო გადაცემის თაობაზე ნებართვა არ გაუცია, რადგან კომპანიას არც მოუმართავს ასეთი ნებართვის გაცემის თაობაზე განცხადებით.
კომპანიის განმარტებით, პერსონალურ მონაცემთა საერთაშორისო გადაცემის სამართლებრივ საფუძველს წარმოადგენს მომხმარებლის თანხმობა - აპლიკაციის გამოყენებისთვის აუცილებელია ფიზიკური პირის მიერ აპლიკაციაში რეგისტრაცია და მომხმარებლის ანგარიშის შექმნა, ხოლო იმისათვის, რომ მომხმარებელი აპლიკაციაში დარეგისტრირდეს იგი აქტიური მოქმედებით უნდა დაეთანხმოს, მათ შორის, „კონფიდენციალურობის პოლიტიკას“, რომლის მე-12 მუხლი ადგენს პერსონალურ მონაცემთა საერთაშორისო გადაცემისათვის სამართლებრივ საფუძველს.
სამსახურმა არ გაიზიარა კომპანიის აღნიშნული განმარტება, რადგან კომპანიის „კონფიდენციალურობის პოლიტიკის“ მე-12 მუხლი არ იყო შესაბამისობაში თანხმობის შემადგენელი ერთ-ერთი კომპონენტის, მონაცემთა სუბიექტის ინფორმირებულობისათვის „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით დადგენილ მოთხოვნებთან. დამუშავებისათვის პასუხისმგებელ პირს, მონაცემთა სუბიექტის თანხმობის მოპოვებამდე წინმსწრებად ეკისრება მისთვის ინფორმაციის მკაფიო, მარტივი და გასაგები ენით მიწოდების ვალდებულება. მართალია, მომხმარებელი აპლიკაციაში რეგისტრაციის პროცესში აქტიური მოქმედებით გამოხატავდა თანხმობას, მაგრამ ცალკე აღებული მომხმარებლის აქტიური მოქმედება, თანხმობის კუმულატიური ელემენტებისაგან (მაგალითად, ინფორმირებულობისაგან) განცალკევებულად, თანხმობის ტექსტის შინაარსის კანონთან შესაბამისობას არ განაპირობებს. ამდენად, მოცემულ შემთხვევაში, კომპანიის „კონფიდენციალურობის პოლიტიკის“ მე-12 მუხლი, როგორც მომხმარებლის ინფორმირებისა და თანხმობის ტექსტი, არ აკმაყოფილებდა კანონით დადგენილ კრიტერიუმებს, რაც გამორიცხავდა მონაცემთა საერთაშორისო გადაცემისათვის „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 37-ე მუხლის მე-2 პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული საფუძვლის არსებობას, რომელზეც კომპანია უთითებდა.
ამასთან, სამსახურმა გადაწყვეტილებაშივე მკაფიოდ მიუთთა, რომ აღნიშნული კანონის 37-ე მუხლის მე-2 პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული დანაწესი უნდა განიმარტოს მითითებული ნორმის მიზნებისა და პერსონალურ მონაცემთა საერთაშორისო გადაცემისას მონაცემთა სუბიექტის ფუნდამენტური უფლებების დაცვის ინტერესების გათვალისწინებით. ნიშანდობლივია, რომ “GDPR”-ის 49-ე მუხლის პირველი პუნქტით გათვალისწინებული საერთაშორისო გადაცემის საფუძვლები (მათ შორის, მონაცემთა სუბიექტის თანხმობით მონაცემთა საერთაშორისო გადაცემის შემთხვევა) მიიჩნევა ზოგადი წესიდან საგამონაკლისო შემთხვევად. ამ მხრივ გასათვალისწინებელია “EDPB”-ის სახელმძღვანელო რეკომენდაცია, სადაც განმარტებულია, რომ პერსონალური მონაცემების საერთაშორისო გადაცემამდე, პირველ რიგში, უნდა შეფასდეს უზრუნველყოფილია თუ არა მიმღებ სახელმწიფოში პერსონალურ მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები. თუ აღნიშნული საკითხი უარყოფითად ფასდება, დამუშავებისთვის პასუხისმგებელმა პირმა თავად უნდა უზრუნველყოს ხსენებული გარანტიების შექმნა. მხოლოდ აღნიშნულის შეუძლებლობის პირობებშია დასაშვები ზემოხსენებული ნორმით გათვალისწინებული საგამონაკლისო საფუძვლით სარგებლობა. ამდენად, მონაცემთა სუბიექტის თანხმობით პერსონალურ მონაცემთა საერთაშორისო გადაცემის შემთხვევა წარმოადგენს გამონაკლისს პერსონალურ მონაცემთა საერთაშორისო გადაცემის ზოგადი პრინციპიდან, რომელიც არ უნდა იქცეს წესად. ამასთან, საერთაშორისო გადაცემისას უპირატესობა უნდა მიენიჭოს იმ გზებს, რომლებიც უზრუნველყოფს მონაცემთა სუბიექტის მიერ მისი ფუნდამენტური უფლებების დაცვის გარანტიებით სარგებლობას, რადგანაც ზემოაღნიშნული გამონაკლისები ვერ უზრუნველყოფს გადაცემულ პერსონალურ მონაცემთა მიმართ ადეკვატური დაცვის ზომების არსებობას და თანაც, ამ შემთხვევაში, არ მოითხოვება პერსონალურ მონაცემთა დამუშავების საზედამხედველო ორგანოს ნებართვა. შესაბამისად, აღნიშნული საფუძვლით მესამე სახელმწიფოში პერსონალურ მონაცემთა გადაცემა ზრდის მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების მიმართ არსებულ რისკებს. აქედან გამომდინარე, მონაცემთა სუბიექტის ფუნდამენტური უფლებების დაცვის უზრუნველყოფის მიზნებისთვის, იმ შემთხვევაში, თუ სახელმწიფო, სადაც ხდება პერსონალურ მონაცემთა გადაცემა, ვერ უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს, მნიშვნელოვანია, პირველ რიგში, დამუშავებისთვის პასუხიმგებელმა პირმა ხსენებული გარანტიები შექმნას შესაბამისი სახელმწიფოს, ასეთი სახელმწიფოს სათანადო საჯარო დაწესებულებას, იურიდიულ პირს, ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულებით. მხოლოდ აღნიშნული გარანტიების შექმნის შეუძლებლობის პირობებში და ისიც გამონაკლის შემთხვევაშია დასაშვები პერსონალურ მონაცემთა საერთაშორისო გადაცემა მონაცემთა სუბიექტის წერილობითი თანხმობის საფუძველზე. შესაბამისად, განსახილველ შემთხვევაში, კომპანიას აპლიკაციის საშუალებით საქართველოს ტერიტორიიდან რეგისტრირებული მომხმარებლების პერსონალური მონაცემების სხვა სახელმწიფოში გადაცემამდე, მონაცემთა დაცვის სათანადო გარანტიების უზრუნველყოფა უნდა განეხორციელებინა, პირველ რიგში, სათანადო ხელშეკრულებისა და სამსახურის ნებართვის საფუძველზე (კანონის 37-ე მუხლის გათვალისწინებით).
ამრიგად, სამსახურმა დაადგინა, რომ კომპანიის მიერ აპლიკაციის საშუალებით საქართველოს ტერიტორიიდან რეგისტრირებული მომხმარებლების პერსონალური მონაცემების საერთაშორისო გადაცემისას (დამუშავებისას) დარღვეულ იქნა კანონის მოთხოვნები. შესაბამისად, კომპანია ცნობილ იქნა სამართალდამრღვევად და ადმინისტრაციული სახდელის სახით შეეფარდა ჯარიმა. ამასთან, კომპანიას დაევალა: