საიტი მუშაობს სატესტო რეჟიმში

პერსონალურ მონაცემთა დაცვის ახალი რეალობა ევროპაში - საჯარიმო სანქციები GDPR -ის ამოქმდების შემდეგ

 

პასუხისმგებლობის გამომრიცხავი პირობა: ამ ტექსტში გამოთქმული მოსაზრებები გამოხატავს მხოლოდ ავტორის პოზიციას და არ შეიძლება რაიმე ფორმით დაუკავშირდეს იმ ორგანიზაცი(ებ)ის პოზიციას, რომლებთანაც შესაძლოა ავტორი ასოცირდებოდეს. ტექსტის კომენტატორთა მოსაზრებები კი, რა თქმა უნდა მხოლოდ მათ მოსაზრებებს გამოხატავს. ყველა შესაძლო დამთხვევა შემთხვევითია.

 


 

თითქმის საყოველთაო კონსენსუსი არსებობს პერსონალურ მონაცემთა დამუშავების წესების დარღვევისთვის საქართველოს კანონმდებლობით გათვალისწინებული საჯარიმო სანქციების არაეფექტიანობაზე. როგორც ამ სფეროს სპაციალისტები, ისე თემასთან შეხების მქონე სხვა ადამიანები თანხმდებიან, რომ საჯარიმო სანქციებმა რომელთა ოდენობა 100 ლარიდან იწყება და მაქსიმალურ 10 000 ლარის ოდენობას აღწევს, ვერ აიძულა კომპანიები სათანადოდ იზრუნონ მათი მომხმარებლების მონაცემთა დაცვაზე. კომპანიების ნაწილი ამჯობინებს წლის განმავლობაში თუნდაც რამდენჯერმე გადაიხადოს ფულადი ჯარიმა, ვიდრე საკუთარ ბიზნეს-პროცესს გადახედოს, მომხმარებლებისაგან სათანადო თანახმობა მიიღოს ან სხვა ხარჯი გაიღოს მონაცემთა დაცვის უზრუნველსაყოფად.

ამ ფონზე განსაკუთრებით თვალში საცემია ევროკავშირის პერსონალურ მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მიერ შემოთავაზებული ჯარიმების ახალი სტანდარტი  - რომელიც ითვალისწინებს ჯარიმებს 20 მილიონ ევროს ოდენობამდეც კი და არსებული კონტრასტი ქართულ და ევროპულ მიდგომებს შორის. მითუმეტეს, რომ ეს საკითხი საქართველოსთვისაც აქტუალურია და მხოლოდ უბრალოდ პრეცედენტი და „ევროპული პრაქტიკა" არ არის და რეალური გავლენა აქვს ქართულ სინამდვილეზე.

ეს ჩვენც გვეხება! ერთი მხრივ, ევროკავშირთან დადებული ასოცირების ხელშეკრულებით, ასევე ვიზა ლიბერალიზაციის სამოქმედო გეგმით საქართველოს აღებული აქვს ვალდებულება რომ ქართული კანონმდებლობა და პრაქტიკა პერსონალურ მონაცემთა დაცვის სფეროში, შესაბამისობაში უნდა იყოს ევროპულ სტანდართებთა, ხოლო მეორე მხრივ, GDPR-ის ექსტრატერიტორიული პრინციპით მოქმედების გამო.  

ცხადია, ზემოაღნიშნული არ ნიშნავს რომ ქართული კომპანიების დიდი ნაწილი უკვე მოექცა GDPR რეგულაციის ქვეშ. არც  ევროპული რეგულაციის და ჯარიმების  ზუსტი კოპირება გვევალება საქართველოს კანონმდებლობაში, თუმცა ისიც ცხადია, რომ საქართველოში არსებული მდგორმეობა და ფუნდამენტური აცდენა მიდგომებში დიდხანს ვერ გაგრძელდება. მითუმეტეს, GDPR -ის გარეშეც კარგად ვიცით რომ „ქართული მიდგომა" არ მუშაობს.

როგორ შეიცვალა რეალობა GDPR-ის ამოქმედების შემდეგ

პერსონალურ მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მიღებას დიდი ვნებათაღელვა ახლდა თან და გარკვეული სკეპტიციზმიც არსებობდა პრაქტიკაში მის გამოყენებასთან დაკავშირებით. ეს სკეფსისი განსაკუთრებით კარგად იგრძნობოდა საქართველოს გადმოსახედიდან - GDRP-ით შემოთავაზებული მილიონიანი ჯარიმები ძალიან შორეული და არარეალური ჩანდა. რა გასაკვირია ქართული ბიზნესის ეს გულმშვიდი დამოკიდებულება, როდესაც თავად ევროპაშიც არსებობდა ეჭვნარევი მოლოდინი თუ რამდენად ეფექტიანად იმუშავებდა პრაქტიკაში რეგულაციის სანქციების კომპონენტი.

პრაქტიკაში კი მოხდა შემდეგი: რეგულაციის ამოქმედებიდან სულ რამდენიმე საათში ავსტრიულმა არასამთავრობო ორგანიზაციამ საჩივრები წარადგინა Google-ს, Facebook-ისა და მის მფლობელობაში მყოფი Whatsapp-სა და Instagram-ის წინააღმდეგ. საჩივრის ძირითადი საგანი ე.წ 'იძულებითი თანხმობა' იყო ანუ ამ ტექ.გიგანტების მიერ შემოთავაზებული თამაშის წესები, როდესაც მონაცემები თითქოს მომხმარებლის თანხმობით მუშავდება, რეალურად კი პროდუქტის გამოყენების ერთადერთი საშუალება მის პირობებზე დათანხმებაა.  კონკრეტულად ამ საჩივრებზე არსებითი და საბოლოო გადაწყვეტილება მიღებული ჯერ კიდევ არ არის, თუმცა ტექნოლოგიებით ასე გაჯერებულ ყოველდღიურობაში ამ ტიპის საქმეების ინიცირების ფაქტი და საზედამხედველო ორგანოების მიერ GDPR სტანდარტების შესაძლო დარღვევების არსებითი განხილვა და ახლად დადგენილ კოლოსალურ ჯარიმებზე მსჯელობა აქამდე არსებული სკეპტიკური მოლოდინების საწინააღმდეგოდ სულ უფრო და უფრო რეალური ხდება.

პირველ საჩივრებს კი პირველი უპრეცედენტო თუ პრეცედენტული გადაწყვეტილებები და ჯარიმები მოჰყვა. 2019 წლის იანვარში საფრანგეთის მონაცემთა დაცვის მარეგულირებელმა Google 50 მილიონი ევროს ოდენობით დააჯარიმა სწორედ თანხმობების არასწორად მოპოვებისა და მომხმარებლებისათვის არასაკმარისი ინფორმაციის მიწოდებისათვის. მარეგულირებელმა ჩათვალა, რომ კომპანია მომხმარებლებს (მონაცემთა სუბიექტებს) არ აძლევდა საკმარის კონტროლს მათი მონაცემების გამოყენებაზე და გარდა შთამბეჭდავი ჯარიმისა, დარღვევების გამოსწორებაც დაავალა.

კიდევ ერთი ასეთი გახმაურებული შემთხვევაა ბრიტანული ავიახაზების საქმე, რომელმაც რეგულაციის ამოქმედებიდან ერთი წლის შემდეგ კიდევ ერთხელ მიაქცია ფართო საზოგადოების ყურადღება GDPR-ის სანქციებისაკენ.

საქმე ეხება მონაცემთა გაჟონვის შემთხვევას, რომლის შესახებაც კომპანიამ 2018 წლის სექტემბერში განაცხადა. ბრიტანული ავიახაზების მომხმარებლები საიტზე შესვლისას ხვდებოდნენ (გადამისამასრთდებოდნენ) სხვა, ყალბ საიტზე, რამაც ნახევარ მილიონზე მეტი მომხმარებლის პერსონალური მონაცემების გამჟღავნება გამოიწვია. საქმეს დიდი ბრიტანეთის საინფორმაციო კომისარის ოფისი (ICO) განიხილავდა და პრეცედენტული გადაწყვეტილებაც მიიღო - ბრიტანული ავიახაზებს  230 მლნ ევროს ოდენობის ჯარიმა დააკისრა.

გარდა აღნიშნულისა არის სხვა, ჯარიმის ოდენობის თვლასაზრისით ნაკლებად შთამბეჭდავი, მაგრამ მაინც მნიშვნელოვანი საქმეები - 2018 წლის დეკემბერში პორტუგალიური საავადმყოფოს (400 000 ევრო), ნოემბერში - გერმანული სოციალური მედიის პროვაიდერისა (20 000 ევრო) და ოქტომბერში - ავსტრიული ადგილობრივი ბიზნესის (4800 ევრო) დაჯარიმების საქმეები, შესაბამისად - პაციენტის ჩანაწერებზე არასანქცირებული წვდომის, პაროლების ღია ტექსტის სახით შენახვისა და ვიდეომონიტორინგის წესების დარღვევის გამო. რამდენიმე კვირის წინ კი, სექტემბრის ბოლოს პოლონეთის მონაცემთა დაცვის ოფისმა 645 000 ევროთი დააჯარიმა ონლაინ ვაჭრობის კომპანია მონაცემთა დაცვისათვის არაჯეროვანი ორგანიზაციული და ტექნიკური ზომების გატარების გამო, რამაც 2.2 მილიონი მომხმარებლის მონაცემების გაჟონვა გამოიწვია.

 

რატომ არის ეს საქმეები მნიშვნელოვანი?

1. ჯარიმის ოდენობა - ბრიტანულმა საინფორმაციო კომისრის ოფისმა ჯარიმის ოდენობა კომპანიის 2017 წლის შემოსავალზე დაყრდნობით იანგარიშა (შემოსავლის 1.5%) და, მიუხედავად იმისა, რომ რეგულაციით გათვალისწინებული სანქციის ზღვრული ოდენობის მაქსიმუმისთვის არ მიუღწევია, სკეპტიკოსთა გასაკვირად ის მაინც GDPR-ის ერთწლიან ისტორიაში  ყველაზე დიდი ოდენობის ჯარიმაა (230 მლნ ევრო).

2. კომპანიის ბრალეულობა - ბრიტანულმა ავიახაზებმა თავად განაცხადა პრობლემის შესახებ და გამოძიების ფარგლებში აქტიურად თანამშრომლობდა საინფორმაციო კომისრის ოფისთან. მეტიც, ის თავად იყო ჰაკერული შეტევის მსხვერპლი და ამ ინციდენტის შემდეგ უსაფრთხოების გარკვეული ზომებიც მიიღო. მიუხედავად იმისა, რომ კომპანიას თავისი აქტიური მოქმედებით არაფერი დაუშავებია, ის პასუხისმგებელად ჩაითვალა მისი მომხმარებლების მონაცემებზე, იმ მონაცემებზე რომელსაც ამუშავებს და, შესაბამისად, უნდა იზრუნოს და მიიღოს ადეკვატური ტექნიკური და ორგანიზაციული ზომები ამ მონაცემების დასაცავად.

3. გზავნილი მონაცემთა დამმუშავებლებს - მონაცემთა დაცვაზე ზედამხედველი ორგანოების მიდგომამ აჩვენა, რომ რაც უფრო დიდია კომპანიის შემოსავალი, მით მეტი შეიძლება იყოს პოტენციური ჯარიმა და ის დამოკლეს მახვილივით ჰკიდია მათ თავზე. შესაბამისად, ბიზნესმა საკუთარ თავს ერთი მნიშვნელოვანი კითხვა უნდა დაუსვას, მზად არიან ამ მუდმივი საფრთხის ქვეშ იცხოვრონ და გარისკონ არა მხოლოდ საკუთარი რეპუტაციით, არამედ კონკრეტული მრავალნულიანი ციფრებით, თუ შეძლებენ რეალური ინვესტიცია მოახდინონ მონაცემთა დაცვის უკეთეს და ადეკვატური პროცედურებისა და ტექნოლოგიების დასანერგად.

 

 

მომზადდა პროექტის "მონაცემთა სუბიექტებისა და სხვა აქტორების გაძლიერება პირადი ცხოვრების ხელშეუხებლობის უფლების რეალიზაციისთვის" ფარგლებში, ნიდერლანდების საელჩოს მხარდაჭერით. დოკუმენტში მოცემული შეფასებები და რეკომენდაციები წარმოადგენს მხოლოდ ინოვაციებისა და რეფორმების ცენტრის პოზიციას და ის შეიძლება არ ასახავდეს ნიდერლანდების საელჩოს შეხედულებებს.

 


იხ. მონაცემთა დაცვის ზოგადი რეგულაცია ( GDPR) https://gdpr-info.eu/art-3-gdpr/

GDPR გზამკვლევი ქართულ ენაზე: https://pdp.ge/cdn/2018/11/GDPR.pdf გვ. 3-4

GDPR-ის მე-7 მუხლი განსაზღვრავს მონაცემთა სუბიექტის თანახმობის სპეციფიკურ პირობებს - კრიტერიუმებს, რომლის მიხედვითაც მონაცემთა სუბიექტის თანხმობა უნდა იყოს თავისუფალი ნების გამოვლენით/ნებაყოფლობით გაცემული რა დროსაც მნიშვნელობა ენიჭება მათ შორის იმას, ხომ არ არის მომსახურების გაწევა/სერვისის მიწოდება თანხმობის მიცემაზე დამოკიდებული.

მონაცემთა დაცვის ევროპულმა ორგანოებმა, სადაც საჩივრები იყო წარდგენილი, ნაწილობრივ იმსჯელეს საკითხზე, თუმცა საქმეები რამდენიმე სარჩელად დაიშალა და სხვადასხვა სასამართლოში მიმდინარეობს მათი განხილვა.

საკამათოა, რამდენად „შთამბეჭდავი" და პროპორციულია Google-თვის აღნიშნული ოდენობა, თუმცა პირველი პრეცედენტებისთვის, ალბათ, მაინც საგულისხმო გადაწვყეტილება იქნა მიღებული