2025-05-01

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება იურიდიული კომპანიის 60 000 ფუნტის ოდენობით დაჯარიმების შესახებ

---

საზედამხედველო ორგანოს მიერ გამოვლენილი დარღვევა შეეხებოდა პერსონალურ მონაცემთა დაცვისთვის არასათანადო ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების მიღებასა და ინციდენტის შესახებ საზედამხედველო ორგანოსათვის დადგენილ ვადაში შეტყობინების ვალდებულების დარღვევას.[1]

 

საქმის ფაქტობრივი გარემოებები:

2022 წლის ივნისში იურიდიული კომპანია “DPP Law”-ზე კიბერთავდასხმა განხორციელდა, რის შედეგადაც ერთი კვირის განმავლობაში არაუფლებამოსილ პირებს კომპანიის IT სისტემებზე ჰქონდათ წვდომა , მათ შორის იმ ადმინისტრატორის ანგარიშზე, რომელიც საქმის მართვის ძველ სისტემაზე წვდომისთვის გამოიყენებოდა. შედეგად, კიბერთავდამსხმელებმა მიითვისეს 32 GB მოცულობის მონაცემი, რომელიც მოიცავდა კომპანიის კლიენტებთან დაკავშირებულ სასამართლო დოკუმენტებს, ფაილებს, ფოტოებსა და ვიდეოებს, რომელთაგან ზოგიერთი სექსუალურ დანაშაულებსა და ბავშვთა სექსუალური ძალადობის შემცველ მასალას წარმოადგენდა.

ინციდენტის შესახებ იურიდიულმა კომპანიამ  დანაშაულის ეროვნულ სააგენტოსგან (“National Crime Agency”) 2022 წლის ივლისში შეიტყო. მომხდარი თავდასხმიდან 43 დღეში მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა აღნიშნულის თაობაზე  გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიაწოდა ინფორმაცია.

 

საზედამხედველო ორგანოს გადაწყვეტილების დასაბუთება:

საზედამხედველო ორგანომ დაადგინა, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია გაერთიანებული სამეფოს „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“UK GDPR”) 5(1)(f) მუხლით გათვალისწინებული კეთილსინდისიერებისა და კონფიდენციალურობის პრინციპი და 32(1) მუხლით გათვალისწინებული ტექნიკური და უსაფრთხოების ზომების განხორციელების ვალდებულება.

შესწავლის შედეგად გამოიკვეთა დამუშავებისთვის პასუხისმგებელი პირის ქსელის უსაფრთხოების კრიტიკული ხარვეზები, რამაც თავდამსხმელებს კიბერშეტევის განხორციელების საშუალება მისცა. დამუშავებისთვის პასუხისმგებელმა პირმა ვერ შეძლო შესაბამისი ზომების მიღება ელექტრონულად შენახული პერსონალური ინფორმაციის უსაფრთხოების უზრუნველსაყოფად. შესაბამისი უსაფრთხოების სტანდარტების არარსებობამ კიბერთავდამსხმელებს საშუალება მისცა, იშვიათად გამოყენებული ანგარიშის მეშვეობით, რომელსაც არ ჰქონდა მრავალსაფეხურიანი ავთენტიფიკაცია (“MFA”), მიეღოთ წვდომა კომპანიის ქსელზე და მოეპოვებინათ დიდი რაოდენობით მონაცემები.

საზედამხედველო ორგანოს განმარტებით, არსებული რისკები აუდიტის შედეგად იდენტიფიცირებული უნდა ყოფილიყო. ასევე აღმოჩნდა, რომ გამოყენებული საქმის მართვის სისტემა მოძველებული იყო, ვინაიდან სისტემის მხარდაჭერაც 2019 წელს დასრულდა.

იურიდიული კომპანია ფუნქციონირებდა სამართლებრივი დახმარების მიმართულებით. იურიდიული კომპანიის საქმიანობის ბუნებიდან გამომდინარე, ის პასუხისმგებელია სხვადასხვა კატეგორიის, მათ შორის განსაკუთრებული კატეგორიის პერსონალურ მონაცემებზე. თავდამსხმელების მიერ მოპარული ინფორმაცია შეეხებოდა იდენტიფიცირებადი პირების, კერძოდ, კომპანიის კლიენტების შესახებ პირად მონაცემებს, შესაბამისად, კომპანია კანონის თანახმად პასუხისმგებელი იყო მის სათანადო დაცვაზე.

საზედამხედველო ორგანომ დაადგინა, რომ იურიდიული კომპანიის მიერ დაირღვა გაერთიანებული სამეფოს „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“UK GDPR”) 33(1) მუხლით გათვალისწინებული პერსონალური მონაცემების დარღვევის შესახებ საზედამხედველო ორგანოსთვის 72 საათის განმავლობაში შეტყობინების ვალდებულება.

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ უარყოფითად შეაფასა ინციდენტის შესახებ შეტყობინების დაგვიანება.  კერძოდ, ინციდენტის შესახებ დამუშავებისთვის პასუხისმგებელმა პირმა 43 დღის შემდეგ ეროვნული კრიმინალური სააგენტოსგან შეიტყო. პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადასტურა, რომ დამუშავებისთვის პასუხისმგებელი პირი ცდილობდა სისტემის ხელახლა ამოქმედებას, თუმცა ამავდროულად აღნიშნა, რომ ინციდენტის დროს მონაცემთა სუბიექტებისთვის შექმნილი რისკები სათანადოდ არ იყო შეფასებული და გათვალისწინებული.

 

პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება:

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა გაერთიანებული სამეფოს „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“UK GDPR”) 5(1)(f) მუხლის - კეთილსინდისიერებისა და კონფიდენციალურობის პრინციპის, 32(1) მუხლის - მონაცემთა დამუშავების უსაფრთხოებისა და 33(1) მუხლის - საზედამხედველო ორგანოსთვის შეტყობინების ვალდებულების დარღვევა. ჯარიმის ოდენობის განსაზღვრაზე გავლენა იქონია, პერსონალური მონაცემების შინაარსმა, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ქმედების დაუდევრობის ხასიათმა. ამასთან, საზედამხედველო ორგანომ საჭიროდ მიიჩნია დაკისრებულ სახდელს ჰქონოდა შემაკავებელი ხასიათი. ზემოთ აღნიშნულის გათვალისწინებით, საზედამხედველო ორგანომ ჯარიმის ოდენობა 60 000 ფუნტის (69,781 ევრო) ოდენობით განსაზღვრა.