პერსონალურ მონაცემთა დაცვის ინსპექტორის ინფორმაციით, 2018 წელს საჯარო დაწესებულებაში დაცულ მონაცემთა ბაზებზე მოხელეთა არასამსახურებრივი მიზნით წვდომისა და ინფორმაციის კონფიდენციალობის დარღვევის რამდენიმე ფაქტი გამოვლინდა.
სამინისტროების, საარჩევნო ადმინისტრაციის, სასამართლოების, ადგილობრივი თვითმმართველობის ორგანოების, საჯარო სამართლის იურიდიული პირების, მათ შორის საჯარო სამსახურის ბიუროს, საჯარო სკოლებისა და სახელმწიფო უნივერსიტეტების მიერ მონაცემთა დამუშავების შესწავლილი 115 ფაქტიდან სამართალდარღვევა დადასტურდა 70-ის შემთხვევაში. ინსპექტორის ანგარიშის მიხედვით, 11 საქმეზე გამოიყენეს ჯარიმა, ხოლო 7 შემთხვევაში გაფრთხილება. ამასთან, გარკვეულ დარღვევებზე, ხანდაზმულობიდან გამომდინარე, ადმინისტრაციული სახდელის დაკისრება ვერ მოხდა, თუმცა გაიცა 50 შესასრულებლად სავალდებულო მითითება და რეკომენდაცია.
გთავაზობთ კონკრეტულ მაგალითებს მოკლედ:
- ინსპექტორს მიმართა მოქალაქემ, რომელიც მიუთითებდა, რომ ერთ-ერთი სამინისტროს თანამშრომელმა, სავარაუდოდ, სამსახურებრივი უფლებამოსილების გამოყენებით, უკანონოდ მოიპოვა მისი პერსონალური მონაცემები. განცხადების განხილვის ფარგლებში დადგინდა, რომ სამინისტროში დასაქმებულმა პირმა პირადი მიზნებით გამოიყენა მისთვის გადაცემული ე.წ. დიჯიპასი და მოიპოვა განმცხადებლის მონაცემები. აღნიშნულ ფაქტზე სამინისტრომ თავად ჩაატარა სამსახურებრივი მოკვლევა და დისციპლინური პასუხისმგებლობა დააკისრა მოხელეს.
- ერთ-ერთი მოქალაქე მიუთითებდა, რომ საქართველოს შრომის, ჯანმრთელობისა და სოციალური დაცვის სამინისტრომ მისი წერილობითი მიმართვა ხელმისაწვდომი გახადა ამავე მიმართვაში დასახელებული პირებისთვის. აღნიშნული ფაქტის დასადასტურებლად წარმოადგინა სოციალურ ქსელ „Facebook“-ში რამდენიმე პირს შორის შემდგარი პირადი მიმოწერის ამსახველი ფოტომასალა, სადაც განიხილებოდა განმცხადებლის მიერ სამინისტროსთვის გაგზავნილ წერილობით მიმართვაში მითითებული საკითხები და ნახსენები იყო მიმართვის ავტორის სახელი და გვარი. განხილვის ფარგლებში დადგინდა, რომ მოქალაქის წერილობითი მიმართვა შეეხებოდა აივ/შიდსით შესაძლო ინფიცირების საფრთხეებს. სამინისტრომ წერილი რეაგირების მიზნით გადაუგზავნა სსიპ დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნულ ცენტრს. თავის მხრივ, სსიპ-მა მიმართვა მასში მითითებული გარემოებების დადგენის მიზნით გადასცა კონტრაქტორ ორგანიზაციებს. ცენტრსა და კონტრაქტორ ორგანიზაციებს შორის დადებული ხელშეკრულებით, მათ ვალდებულებას წარმოადგენდა აივ ინფექციის/შიდსის პრევენცია, რისკის ქვეშ მყოფი თემის წევრების მობილიზება და მათთვის სამედიცინო მომსახურების ხელმისაწვდომობის უზრუნველყოფა. განხილულ შემთხვევაში, კონტრაქტორებისგან დამატებითი ინფორმაციის მოძიება შესაძლებელი იყო წერილის ავტორის იდენტიფიცირების გარეშეც, მით უფრო რომ წერილის შინაარსი ქმნიდა ავტორისთვის გარკვეული ზიანის მიყენების საფრთხეს.
- ერთ-ერთი განცხადების განხილვის შედეგად დადგინდა, რომ www.privatization.ge-ზე შესაძლებელია სახელმწიფო ქონების მართვა-განკარგვასთან დაკავშირებულ აუქციონში გამარჯვებული პირების სახელის, გვარისა და პირადი ნომრის მოძიება. ვინაიდან ინფორმაციის ხელმისაწვდომობის ვადა არ არის განსაზღვრული, აუქციონში გამარჯვებულთა მონაცემები ქვეყნდება განუსაზღვრელი ვადით. ამასთან, ვებგვერდს არ გააჩნია საძიებო სისტემებისგან დაცვის ფუნქციონალი და ნებისმიერ საძიებო სისტემაში სუბიექტის სახელისა და გვარის მითითებით პირადი ნომრის მოპოვება მარტივად არის შესაძლებელი.
- გამოვლინდა საქართველოს ცენტრალური საარჩევნო კომისიის (ცესკო) ვებგვერდზე ამომრჩეველთა ერთიანი სიის მონაცემების (ფოტოსურათის, რეგისტრაციის მისამართისა და მასთან ერთად ამავე მისამართზე რეგისტრირებული პირების შესახებ) სხვა მიზნებით გამოყენების არაერთი შემთხვევა. აღნიშნულ ბაზას აქტიურად იყენებენ ე.წ. სესხის ამომღები ორგანიზაციები და კერძო დეტექტივები. მართალია, ამომრჩეველთა ერთიანი სიის გადამოწმებისთვის განკუთვნილ გვერდზე მითითებულია, რომ: „ვებგვერდი განკუთვნილია მხოლოდ ამომრჩეველთათვის საკუთარი და ოჯახის წევრების მონაცემების გადასამოწმებლად!“, თუმცა კანონმდებლობა არ შეიცავს დათქმას გამოქვეყნებული მონაცემების შემდგომი დამუშავების შეზღუდვის თაობაზე.
პერსონალურ მონაცემთა დაცვის ინსპექტორი აღნიშნავს, რომ აპარატის მიერ გამოვლენილ საჯარო მოსამსახურეების გადაცდომებზე თავად უწყებებიც ახდენდნენ დისციპლინურ რეაგირებას, თუმცა არასამსახურებრივი მიზნით მონაცემებზე წვდომის პრევენციისათვის, მნიშვნელოვანია შიდა კონტროლის მექანიზმების გაძლიერება.
ანგარიშის მიხედვით, 2018 წელს ინსპექტორის აპარატმა 915 კონსულტაცია გაუწია საჯარო დაწესებულებებს - ჩატარდა ათეულობით ტრენინგი და სამუშაო შეხვედრა, მათ შორის, 51 მუნიციპალიტეტის, საქართველოს ეროვნული არქივის, საქართველოს თავდაცვის სამინისტროს, საქართველოს პარლამენტის, საქართველოს საგარეო საქმეთა სამინისტროსა და სხვა უწყებების 750-ზე მეტი წარმომადგენლისთვის.
პერსონალურ მონაცემთა დაცვის ინსპექტორის რეკომენდაციით, მონაცემთა უსაფრთხოების უზრუნველსაყოფად სასურველია:
- ორგანიზაციებმა შეიმუშაონ შიდა პოლიტიკის დოკუმენტები, რითაც განისაზღვრება მონაცემთა უსაფრთხოების საკითხები და არასანქცირებული წვდომის პრევენციის მექანიზმები;
- უზრუნველყონ დასაქმებული პირების ინფორმირება მონაცემთა უსაფრთხოების წესებთან დაკავშირებით და საჭიროების შესაბამისად განსაზღვრონ მონაცემებთან მათი წვდომის დიფერენცირებული დონეები;
- თანამშრომლებს მონაცემთა ბაზებზე დაშვება მიანიჭონ მხოლოდ ინდივიდუალური მომხმარებლის სახელით/პაროლით ან/და გაპიროვნებული „დიჯიპასის“ მეშვეობით;
- აღრიცხონ მონაცემების მიმართ შესრულებული ყველა ქმედება, რათა შესაძლებელი იყოს კონკრეტულ ქმედებაზე პასუხისმგებელი პირის იდენტიფიცირება.
