2025-09-25

ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა დამუშავების კანონიერების შესახებ

2025 წლის 1-ელ აგვისტოს, ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“VDAI”) მიიღო გადაწყვეტილება[1] ონლაინ მაღაზიის მიერ მონაცემთა დამუშავების კანონიერების შესახებ.

საქმის ფაქტობრივი გარემოებები

საქმის ფაქტობრივი გარემოებების თანახმად, მონაცემთა სუბიექტი დარეგისტრირდა მეორეული ტანსაცმელებისა და აქსესუარების ყიდვა-გაყიდვის ონლაინ მაღაზიის ვებგვერდზე (“Vinted”). მომხმარებლის ახალი ანგარიშის შექმნისას ტელეფონის ნომრის მითითება საჭირო არ იყო, თუმცა მოგვიანებით დამუშავებისთვის პასუხისმგებელმა პირმა (ონლაინ მაღაზია) მონაცემთა სუბიექტს მოსთხოვა ტელეფონის ნომრის დამატება. ამგვარი მონაცემის შეგროვების მიზნად მაღაზიამ დაასახელა თაღლითობის პრევენცია, “Vinted” პლატფორმისა და მისი მომხმარებლების უსაფრთხოების უზრუნველყოფა. მონაცემთა სუბიექტმა დამუშავებისთვის პასუხისმგებელი პირის მოთხოვნა დაუსაბუთებლად მიიჩნია, თუმცა საბოლოოდ მაინც გააზიარა ტელეფონის ნომერი, ვინაიდან წინააღმდეგ შემთხვევაში საკუთარ ანგარიშზე წვდომა შეეზღუდებოდა.

თავის მხრივ, მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა მიუთითა “Vinted”-ის მომსახურების პირობებზე, სადაც ნათლად იყო განმარტებული, რომ ანგარიშის უსაფრთხოების უზრუნველყოფისა და თაღლითობის პრევენციის მიზნით, მომხმარებლის ტელეფონის ნომერი ანგარიშის ვერიფიკაციის ერთ-ერთ მეთოდს წარმოადგენდა. აღნიშნულის საფუძველზე დამუშავებისთვის პასუხისმგებელი პირი აცხადებდა, რომ ანგარიშის ვერიფიკაციისთვის ტელეფონის ნომრის შეგროვება ეფუძნებოდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის 1-ელი პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებულ სამართლებრივ საფუძველს, რომლის თანახმად, მონაცემთა დამუშავება კანონიერია, თუ აუცილებელია მონაცემთა სუბიექტის მიერ დადებული ხელშეკრულების შესასრულებლად ან სუბიექტის თხოვნით ხელშეკრულების გაფორმებამდე გარკვეული ზომების მისაღებად. დამატებით, მომხმარებელთა ანგარიშის უსაფრთხოების უზრუნველყოფა ხელშეკრულების განუყოფელ ნაწილს წარმოადგენდა. აღნიშნულიდან გამომდინარე, პერსონალური მონაცემების შეგროვება ანგარიშის ვერიფიკაციის მიზნით მომხმარებელთა ლეგიტიმურ მოლოდინებთან შესაბამისობაში იყო.

საზედამხედველო ორგანოს შეფასება

ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ მომხმარებელთა ანგარიშების ვერიფიკაცია დამუშავებისთვის პასუხისმგებელ პირსა და მონაცემთა სუბიექტს შორის გაფორმებული ხელშეკრულების არსებით ასპექტს არ წარმოადგენდა. ამ მიზეზით, საზედამხედველო ორგანომ მიიჩნია, რომ მონაცემთა დამუშავება ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-6 მუხლის 1-ელი პუნქტის „ა“ და „ბ“ ქვეპუნქტს ვერ დაეფუძნებოდა. საზედამხედველო ორგანომ მიუთითა მონაცემთა დაცვის ევროპული საბჭოს (“EDPB”) სახელმძღვანელო რეკომენდაციაზე და აღნიშნა, რომ აღნიშნული ნორმის აუცილებლობის კრიტერიუმი ვიწროდ უნდა იქნეს განმარტებული.

საზედამხედველო ორგანომ, ასევე, აღნიშნა, რომ მომსახურების პირობების მიხედვით, დამუშავებისთვის პასუხისმგებელი პირის მიერ ტელეფონის ნომრის დამუშავება ვერიფიკაციის ერთ-ერთ შესაძლო საშუალებას წარმოადგენდა. აღნიშნული გარემოება საკმარისი იყო იმის დასადგენად, რომ პერსონალური მონაცემების დამუშავება ვერ აკმაყოფილებდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის 1-ელი პუნქტის ფარგლებში დადგენილ აუცილებლობის კრიტერიუმს.

საზედამხედველო ორგანოს გადაწყვეტილება

საზედამხედველო ორგანომ დაადგინა, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ დაირღვა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის 1-ელი პუნქტის „ა“ და „ბ“ ქვეპუნქტი - კანონიერი საფუძვლის გარეშე შეაგროვა მომხმარებელთა პერსონალური მონაცემები. აღნიშნულიდან გამომდინარე, კომპანიას დაევალა ვერიფიკაციის მიზნით ტელეფონის ნომრების შეგროვების შეწყვეტა და უკანონოდ მოპოვებული მონაცემების წაშლა.

[1] VDAI (Lithuania) - 3R-1005, <https://gdprhub.eu/index.php?title=VDAI_(Lithuania)_-_3R-1005>, [6.10.2025].