საიტი მუშაობს სატესტო რეჟიმში

ბლოგი

გავრცელებული დარღვევები პერსონალური მონაცემების დაცვის სფეროში

იან. 1.1970

გავრცელებული დარღვევები პერსონალური მონაცემების დაცვის სფეროში

 

პასუხისმგებლობის გამომრიცხავი პირობა: ამ ტექსტში გამოთქმული მოსაზრებები გამოხატავს მხოლოდ ავტორის პოზიციას და არ შეიძლება რაიმე ფორმით დაუკავშირდეს იმ ორგანიზაცი(ებ)ის პოზიციას, რომლებთანაც შესაძლოა ავტორი ასოცირდებოდეს. ტექსტის კომენტატორთა მოსაზრებები კი, რა თქმა უნდა მხოლოდ მათ მოსაზრებებს გამოხატავს. ყველა შესაძლო დამთხვევა შემთხვევითია.

 

 

ტექნოლოგიური პროგრესისა და მონაცემთა დამუშავების გაზრდილი მასშტაბებიდან გამომდინარე, მეგა მონაცემების („Big Data") ეპოქაში პირადი ცხოვრების ხელშეუხებლობისა და პერსონალური მონაცემების დაცვა განსაკუთრებულ აქტუალობას იძენს. ყოველდღიურად მატულობს პერსონალურ მონაცემებთან დაკავშირებული რისკები, ინციდენტები და დარღვევები.

მონაცემთა უკანონოდ მოპოვებას, გამოყენებას და გავრცელებას მოქალაქეთათვის მნიშვნელოვანი მატერიალური და მორალური ზიანის მიყენება შეუძლია. ყოველწლიურად მატულობს მსხვილ კომპანიებზე ჰაკერული შეტევისა და პერსონალურ მონაცემთა უსაფრთხოების დარღვევის შემთხვევები, შედეგად არა მხოლოდ მილიონობით მოქალაქე ზარალდება, არამედ ის კომპანიები და საჯარო დაწესებულებებიც, რომლებიც მოქალაქეთა მონაცემებს ამუშავებენ. IBM-ის დაკვეთით ჩატარებული კვლევის თანახმად, 2018 წელს ერთი ერთეული მონაცემის დაკარგვის ან მოპარვის შედეგად დამდგარი მატერიალური ზარალი 148 აშშ დოლარია, ხოლო კომპანიებისთვის მასშტაბური დარღვევის შედეგად დამდგარი ზარალი საშუალოდ 4 მილიონ აშშ დოლარს უტოლდება.

მონაცემთა უსაფრთხოება თანამედროვეობის ერთ-ერთი მთავარი გამოწვევაა, თუმცა როცა საქმე პირადი ცხოვრების ხელშეუხებლობასა და პერსონალური მონაცემების დაცვას ეხება, დარღვევები და ინციდენტები ყოველთვის მონაცემთა უსაფრთხოებასთან არ არის დაკავშირებული. ამ სფეროში მრავლად ვხვდებით სხვა სახის დარღვევებსაც - მათ შორის მონაცემთა ლეგიტიმური საფუძვლის გარეშე დამუშავებას, მონაცემთა დამუშავების მინიმიზაციისა და პროპორციულობის პრინციპების დარღვევას, პირდაპირ მარკეტინგისა და აუდიო-ვიდეო თვალთვალის პროცესში გამოვლენილ ნაკლოვანებებს, მოქალაქეთა არასათანადო ინფორმირებას და მათი უფლებების სხვა დარღვევებს.

 

ევროკავშირის ქვეყნებში გამოვლენილი ძირითადი დარღვევები

ევროკავშირის  მონაცემთა დაცვის ზოგადი რეგულაციის ამოქმედების შემდგომ  ვებგვერდზე https://www.enforcementtracker.com/ ქვეყნდება ევროკავშირის წევრი ქვეყნების საზედამხედველო ორგანოების მიერ გამოვლენილი დარღვევები და შესაბამისად, საჯარო და კერძო ორგანიზაციებისთვის დაკისრებული ჯარიმების შესახებ ინფორმაცია. ევროკავშირის საზედამხედველო ორგანოების მიერ გამოვლენილ დარღვევებს შორის ხშირად ვხვდებით მონაცემთა სუბიექტების არასათანადო ინფორმირებასთან, მონაცემთა დამუშავების ზოგადი პრინციპების დარღვევასთან, არასაკმარისი სამართლებრივი საფუძვლით მონაცემთა დამუშავებასთან, მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულების დროულად შეუსრულებლობასთან, საზედამხედველო ორგანოსთან არასათანადო თანამშრომლობასთან, მონაცემთა უსაფრთხოებისთვის არასაკმარის ორგანიზაციულ-ტექნიკურ ზომებთან დაკავშირებულ დარღვევებს. 2019 წლის დეკემბრის მდგომარეობით უკვე 157 ორგანიზაცია დაჯარიმდა, მათ შორის არიან როგორც საჯარო, ასევე კერძო ორგანიზაციები. ამ ეტაპისთვის ყველაზე მაღალი სანქცია (200 000 მილიონი ფუნტი სტერლინგი ფარგლებში) გაერთიანებული სამეფოს ინფორმაციის კომისიონერმა ავიაკომპანია „ბრიტანეთის ავიახაზებს" დააკისრა 500 000-ზე მეტი მომხმარებლის პერსონალური მონაცემების უსაფრთხოების დარღვევისთვის. საფრანგეთის მონაცემთა დაცვის უწყებას სანქციის სახით 50 მილიონიანი ჯარიმა შეუფარდა „Google Inc"-ს გამჭვირვალობის ნაკლებობისა და მომხმარებელთა ინფორმირებული თანხმობის მოპოვების პროცესის მონაცემთა დაცვის ზოგად რეგულაციასთან შეუსაბამობისათვის. ავსტრიის საზედამხედველო ორგანომ 18 მილიონი ევროს გადახდა დააკისრა ავსტრიის ფოსტას იმისთვის, რომ მათ შექმნეს და მათ შორის პოლიტიკურ პარტიებს მიყიდეს 3 მილიონი ავსტრიის მოქალაქის პროფილი მათი სახელის, მისამართის, პრეფერენციების, ჩვევებისა და შესაძლო პარტიული სიმპათიების შესახებ. 14.5 მილიონი ევროს ოდენობის ჯარიმა დაეკისრა ერთ-ერთ გერმანულ კომუნიკაციის კომპანიას მონაცემთა არასათანადო არქივირების და შენახვის გამო. 2.6 მილიონიანი ჯარიმის გადახდა მოუწია ბულგარეთის შემოსავლების სამსახურს მონაცემთა უსაფრთხოების დაცვისთვის არასათანადო ზომების გატარების გამო, რამაც 6 მილიონი მოქალაქის მონაცემები გახადა უკანონოდ ხელმისაწვდომი.

 

საქართველოში გამოვლენილი ძირითადი დარღვევები

საქართველოში მონაცემთა დაცვის საზედამხედველო ორგანო - სახელმწიფო ინსპექტორის სამსახური (ყოფილი პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი) ყოველწლიური ანგარიშით საქართველოს პარლამენტსა და საზოგადოებას წარუდგენს ამ სფეროში გამოვლენილ ძირითად დარღვევებისა და ნაკლოვანებების შესახებ ინფორმაციას, ინსპექტორის გადაწყვეტილებების მცირე ნაწილი ასევე წლიური ანგარიშები ხელმისაწვდომია ვებგვერდზე https://personaldata.ge/.

2013-2018 წლებში ინსპექტორმა 829 დარღვევა გამოავლინა და 476 ორგანიზაციას დააკისრა სანქცია ჯარიმის ან გაფრთხილების სახით, თუმცა აქვე აღსანიშნავია, რომ პერსონალური მონაცემების დაცვის მარეგულირებელი კანონმდებლობის დარღვევისთვის საქართველოში საკმაოდ დაბალი სანქციები მოქმედებს (100-დან 10 000 ლარამდე). ყველაზე მეტ დარღვევას ინსპექტორი მონაცემთა დამუშავების საფუძვლებსა და პრინციპებთან დაკავშირებით ავლენს, ასევე საკმაოდ მაღალია პირდაპირ მარკეტინგთან და ვიდეო თვალთვალთან დაკავშირებით გამოვლენილი დარღვევების მაჩვენებლები.

 

ინსპექტორის ანგარიშის თანახმად, ხშირად, ხელშეკრულებასა თუ სხვა სახის დოკუმენტზე ხელმოწერით თანხმობის გამოხატვა ფორმალურ ხასიათს ატარებს და მოქალაქე იძულებულია ხელი მოაწეროს თანხმობის ამსახველ დოკუმენტს ყოველგვარი ინფორმაციისა და განმარტების გარეშე.

ხშირად, საჯარო და კერძო ორგანიზაციები შენობების გარე პერიმეტრის და შესასვლელის მონიტორინგის გარდა, აუდიო-ვიდეოთვალთვალის სისტემებს დაუსაბუთებლად იყენებენ სამუშაო ადგილზე დასაქმებულთა კონტროლისათვის, მაშინ, როდესაც კანონის თანახმად,  სამუშაო ადგილზე ვიდეოთვალთვალის სისტემის დაყენება შეიძლება მხოლოდ გამონაკლის შემთხვევაში, თუ კანონიერი მიზნების სხვა საშუალებით მიღწევა შეუძლებელია. ამასთან, დასაქმებულთა უმრავლესობა წერილობითი ფორმით არ არის ინფორმირებული კონტროლის განხორციელებისა და მათი უფლებების შესახებ.

მონაცემთა ბაზებში მოცულობითი ინფორმაციის მოპოვებისა და გამოყენების პარალელურად მონაცემთა დამმუშავებლები ნაკლებ ყურადღებას აქცევენ დაცული ინფორმაციის შენახვის ვადებს და  მონაცემების შენახვას აგრძელებენ მას შემდეგაც, როდესაც მიღწეულია ან აღარ არსებობს მონაცემთა დამუშავების მიზანი.

მოქმედი კანონმდებლობის თანახმად, ინფორმაცია პირის ჯანმრთელობის მდგომარეობის შესახებ განსაკუთრებული კატეგორიის მონაცემია, რომელიც შეიცავს სენსიტიურ დეტალებს ადამიანის პირადი ცხოვრების, მისი ფსიქიკური და ფიზიკური მდგომარეობის შესახებ. ამდენად, განსაკუთრებული კატეგორიის მონაცემების უკანონო ან  შემთხვევითი გამჟღვანება, უსაფრთხოების ზომების დაუცველობა შესაძლოა გახდეს პირის ღირსების შელახვის, სტიგმატიზაციის ან დისკრიმინაციის საფუძველი.

ინსპექტორის მიერ დაფიქსირდა შემთხვევები, როდესაც ჯანმრთელობასთან დაკავშირებული პერსონალური მონაცემების მესამე პირებისათვის გადაცემა მოხდა პაციენტის წერილობითი თანხმობის გარეშე, რაც მოქმედი კანონმდებლობის თანახმად დაუშვებელია, თუ სახეზე არ არის კანონმდებლობით დადგენილი საგამონაკლისო შემთხვევა.

არანაკლებ მნიშვნელოვანია სამედიცინო დაწესებულებების მიერ შიდა-ორგანიზაციულ დონეზე სამედიცინო დოკუმენტაციის შენახვისა და წვდომის საკითხების მოწესრიგება, რათა პაციენტების მონაცემების შემცველი დოკუმენტაცია არ იყოს ადვილად ხელმისაწვდომი არაუფლებამოსილი პირებისათვის.

მონაცემთა გასაჯაროებისას ინფორმაცია განუსაზღვრელი ვადით ხელმისაწვდომი ხდება საზოგადოების ფართო, შეუზღუდავი წრისათვის და მათი გავრცელების შემდგომი კონტროლი პრაქტიკულად შეუძლებელია. ზოგიერთ შემთხვევაში გასაჯაროება შესაძლოა წარმოადგენდეს კიდეც ლეგიტიმურ საშუალებას, თუმცა თანმდევი რისკებიდან გათვალისწინებით, მნიშვნელოვანია, მონაცემთა დამმუშავებელმა ყოველ ინდივიდუალურ შემთხვევაში შეაფასოს არის თუ არა სახეზე მონაცემთა გასაჯაროების სამართლებრივი საფუძველი და რამდენად აუცილებელია მოცულობითი ინფორმაციის ხელმისაწვდომობა ლეგიტიმური მიზნისთვის. მონაცემთა სამართლებრივი საფუძვლის გარეშე გასაჯაროების და პროპორციულობის პრინციპის გამო ინსპექტორს საკმაოდ ბევრი საჯარო და კერძო ორგანიზაციისთვის აქვს ჯარიმის ან გაფრთხილების სახით ადმინისტრაციული პასუხისმგებლობა დაკისრებული.  მაგალითად 2018 წელს ორი უნივერსიტეტის შემოწმებისას დადგინდა, რომ უნივერსიტეტებს „პერსონალურ მონაცემთა დაცვის შესახებ" საქართველოს კანონით გათვალისწინებული სამართლებრივი საფუძვლის გარეშე, საინფორმაციო დაფაზე საჯაროდ ჰქონდათ განთავსებული სტუდენტების ფინანსური დავალიანების და სტატუსის შეჩერების შესახებ ინფორმაცია (სია მოიცავდა სტუდენტების სახელს, გვარს, პირად ნომერს, ჯგუფის ნომერს).

დარღვევები ვლინდება საჯარო დაწესებულებებთან მიმართებითაც.  მიუხედავად იმისა, რომ საჯარო დაწესებულებების საქმიანობა და მათ მიერ მონაცემთა დამუშავების წესი უმეტესად კანონმდებლობით პირდაპირ რეგულირდება, ინსპექტორის ანგარიშები მიუთითებს პრობლემებზე, რაც პერსონალური მონაცემების დაცვისთვის ეფექტიანი სამართლებრივი თუ ორგანიზაციულ-ტექნიკური ზომების გატარებისა და საჯარო მოხელეთა მეტი ინფორმირებულობის  საჭიროებაზე  მიუთითებს.  მაგალითისთვის 2018 წელს გამოვლინდა  საჯარო დაწესებულებაში დაცულ მონაცემთა ბაზებზე მოხელეთა არა სამსახურებრივი მიზნით წვდომისა  და ინფორმაციის კონფიდენციალობის დარღვევის რამდენიმე ფაქტი. ინსპექტორის აპარატის შესწავლის შედეგად 2017 წელს ვიდეოთვალთვალის წესების დარღვევის არაერთი ფაქტი დაფიქსირდა, მათ შორის გამოსაცვლელი ოთახებისა და ჰიგიენისთვის განკუთვნილი ადგილების ვიდეოთვალთვალის რამდენიმე შემთხვევაც. მხოლოდ 2017 წელს ვიდეოთვალთვალის წესების დარღვევის გამო 25 ორგანიზაციას დაეკისრა პასუხისმგებლობა, იმავე წელს პირდაპირი მარკეტინგის წესების დარღვევისთვის 23 ორგანიზაცია დაჯარიმდა.