მთავარი
კატეგორია
TV ლაივი მენიუ
EN RU TR
Loading data...

ვინ და რა ფორმით არღვევს პერსონალური მონაცემების დაცვის საკითხებს პანდემიის დროს? - ანგარიში

6070051def378
ინგა მურუსიძე
09.04.21 15:17
1015
სახელმწიფო ინსპექტორის სამსახურმა 2020 წელს პერსონალურ მონაცემთა დაცვის 24 პროცესი შეისწავლა. საუბარია ისეთი ტიპის მონაცემებზე, რომელთა შეგროვებაც გასულ წელს ძირითადად სწორედ პანდემიის გავლენით დაიწყო. შესწავლის შედეგების შესახებ საუბარია სახელმწიფო ინსპექტორის სამსახურის საქმიანობის 2020 წლის ანგარიშში.

სამსახურის მიერ შესწავლილი საქმეების საფუძველზე, ადმინისტრაციული პასუხისმგებლობა დაეკისრა 12 პირს 14 სამართალდარღვევისთვის. სანქციის სახით 7 პირის მიმართ გამოყენებულია გაფრთხილება, ხოლო 5 პირის მიმართ - ჯარიმა.

უწყებამ შეამოწმა 6 ორგანიზაცია და გამოავლინა დარღვევები:

• ერთ-ერთი სამედიცინო დაწესებულების ელექტრონულ სისტემაში, სადაც დაცული იყო პაციენტთა პერსონალური მონაცემები, არ აღირიცხებოდა მონაცემთა მიმართ შესრულებული ყველა ქმედება;

• ერთ-ერთი სამედიცინო დაწესებულების ელექტრონულ სისტემაზე ერთი და იმავე მომხმარებლის სახელით რამდენიმე პირს ჰქონდა წვდომა

• საქართველოს შინაგან საქმეთა სამინისტრო, მასზე კანონმდებლობით დაკისრებული მოვალეობის ფარგლებში, საზოგადოებრივი ჯანდაცვისა და ამ სისტემის მართვის მიზნით, ელექტრონულად აღრიცხავდა COVID-19-ით ინფიცირებულთა, ასევე, მათთან კონტაქტში ან/და თვითიზოლაციაში მყოფ პირთა მონაცემებს (სახელი, გვარი, პირადი ნომერი, საკონტაქტო ინფორმაცია, მისამართი, ინფიცირებულთან კონტაქტის თარიღი, თვითიზოლაციაში გადაყვანისა და თვითიზოლაციის დასრულების თარიღი და, საჭიროების შემთხვევაში, კონკრეტული პირის ცხელების ცენტრსა ან კარანტინში გადაყვანის შესახებ ინფორმაცია); თუმცა, ამ პროცესში სამინისტრო არ აღრიცხავდა ინფორმაციას პერსონალურ მონაცემთა მოპოვების თარიღის, გაცემის ან/და წაშლის შესახებ;

• სსიპ ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნულ ცენტრში, COVID-19-ზე ტესტირების აღრიცხვის ელექტრონულ მოდულში რეგისტრირებულ მომხმარებელთა პირველადი პაროლები არ იყო შეცვლილი; არ არსებობდა ორდონიანი ავთენტიფიკაციის მექანიზმი, რაც ქმნიდა მოდულში არსებული ინფორმაციის კონფიდენციალობის დარღვევის რისკებს;

• ერთ-ერთმა სამედიცინო დაწესებულებამ COVID-19-ის ტესტირების შედეგები მესამე პირს გაუმჟღანა;

• ერთ-ერთი საზოგადოებრივი კვების (რესტორნის) ობიექტი აღრიცხავდა და ინახავდა რესტორანში მისულ მომხმარებელთა პერსონალურ მონაცემებს (სახელი, გვარი, ტელეფონის ნომერი და პირადი ნომერი), ისე, რომ არ სჭირდებოდა მათი შეგროვება;

• რამდენიმე სავაჭრო მოლში მომხმარებელთა თერმოსკრინინგის სისტემა არ აღრიცხავდა პერსონალურ მონაცემთა მიმართ შესრულებულ მოქმედებებს და არ იყო დაცული პაროლით;

• სსიპ - შემოსავლების სამსახურის მიერ თბილისის შოთა რუსთაველის სახელობის საერთაშორისო აეროპორტში მოქალაქეთა თერმოსკრინინგისას დაფიქსირდა საჭიროების გარეშე თერმოსკრინინგის პროცედურის (ვიდეომასალა) არქივირების ფაქტი. გარდა ამისა, თერმოსკანერის სისტემაზე ერთი და იმავე მომხმარებლის სახელით წვდომა ჰქონდა რამდენიმე პირს. შესაბამისად, მოქალაქეებზე ვიდეომასალა გროვდებოდა და გარკვეული პერიოდით ინახებოდა ყოველგვარი საჭიროების გარეშე; ამასთან, მონაცემებზე წვდომის შემთხვევაში, შეუძლებელი იყო შესაბამისი თანამშრომლის იდენტიფიცირება;

• რამდენიმე საჯარო სკოლის დისტანციური სწავლების პროცესში გამოიყენებოდა ელექტრონული ჟურნალი, რომელშიც არ აღირიცხებოდა მოსწავლეთა მონაცემების მიმართ განხორციელებული ზოგიერთი მოქმედება; კერძო სკოლებში კი არ იყო დანერგილი მოსწავლეთა პერსონალური მონაცემების დაცვის მექანიზმები დისტანციური სწავლებისას (მაგ.: სკოლას არ ჰქონდა შემუშავებული ელექტრონული ფორმით დაცულ მონაცემებზე წვდომის წესები და პირობები, სადაც განსაზღვრული იქნებოდა თანამშრომელთა მიერ მონაცემთა დამუშავების უფლებამოსილების ჯეროვანი განხორციელების მონიტორინგი, ასევე, გამოვლენილ დარღვევებზე სათანადო რეაგირების საკითხები);

• ერთ-ერთი სამედიცინო დაწესებულების (რომელიც პაციენტებს სამედიცინო მომსახურებას უწევს დისტანციურად, ვებგვერდის მეშვეობით) მომხმარებლები სავალდებულო წესით ეთანხმებოდნენ მის ვებგვერდზე განთავსებულ კონფიდენციალობის პოლიტიკას. ეს პოლიტიკა შეიცავდა ინფორმაციას დაწესებულების მიერ ისეთი მონაცემების დამუშავებაზე, რომლებიც ფაქტობრივად არ მუშავდებოდა. შედეგად, მომხმარებელი შეცდომაში შედიოდა და არასწორ ინფორმაციას იღებდა მონაცემთა დამუშავების შესახებ;

• ერთ-ერთი ე.წ. „ონლაინ ვაჭრობის“ (ვებგვერდის მეშვეობით) კომპანია მონაცემთა შეგროვებისას მომხმარებელს არ აწვდიდა ინფორმაციას, თუ რა მიზნითა და სამართლებრივი საფუძვლით მუშავდებოდა და ვის გადაეცემოდა მონაცემები. შესაბამისად, მომხმარებლისთვის მკაფიო და ნათელი არ იყო მისი მონაცემების დამუშავების პროცესი.

„უპირველეს ყოვლისა, მნიშვნელოვანია, სახელმწიფო უწყებებმა, რომლებიც საჯარო და კერძო დაწესებულებებისთვის ადგენენ პანდემიასთან ბრძოლის ზოგად რეგულაციებსა და რეკომენდაციებს, ერთგვაროვანი პრაქტიკის დასანერგად, მკაფიოდ და ნათლად განსაზღვრონ მონაცემთა დამუშავების პროცესები“, - ნათქვამია ინსპექტორის აპარატის კვლევაში.