2025-10-01

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“AEPD”) გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ

2025 წლის 17 სექტემბერს, ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“AEDP”) დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა უსაფრთხოების დარღვევის შესახებ გადაწყვეტილება[1] მიიღო.

საქმის ფაქტობრივი გარემოებები

კომპანია “Servicios Financieros Carrefour, E.F.C., S.A” ესპანეთის ეროვნული ბანკის ზედამხედველობის ქვეშ არსებული ფინანსური მომსახურების მიმწოდებელია, რომლის ერთ-ერთ პროდუქტს სუპერმარკეტი „კარფური“ წარმოადგენს. საქმის ფაქტობრივი გარემოებების თანახმად, კომპანიამ მონაცემთა უსაფრთხოების დარღვევის შესახებ თავად აცნობა საზედამხედველო ორგანოს კანონმდებლობის შესაბამისად.

შეტყობინებასთან ერთად, 2023 წლის დეკემბრიდან 2024 წლის სექტემბრის ჩათვლით მონაცემთა დაცვის საზედამხედველო ორგანომ მონაცემთა სუბიექტებისგან 16 საჩივარი მიიღო. ზოგიერთ მათგანთან გაიგზავნა „ფიშინგმეილები“ (ინტერნეტ-თაღლითობა), რომლებიც შეიცავდა მესამე პირების მიერ უკანონოდ მოპოვებულ მათ შესახებ ინფორმაციას.

საზედამხედველო ორგანოს შეფასება

მონაცემთა უსაფრთხოების დარღვევის შესახებ შეტყობინებისა მონაცემთა სუბიექტების საჩივრების საფუძველზე, ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ კომპანია არღვევდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5(1)(f) მუხლს, რომლის თანახმად, მონაცემთა დამუშავებისას მონაცემთა უსაფრთხოების უზრუნველსაყოფად უნდა იქნეს მიღებული სათანადო ტექნიკური ან ორგანიზაციული ზომები, მათ შორის, მონაცემთა არაუფლებამოსილი პირების მიერ დამუშავების, შემთხვევით დაკარგვის, განადგურების ან დაზიანების („უსაფრთხოება და კონფიდენციალობა“) პრევენციისთვის.

საქმის ფაქტობრივი გარემოებების შესწავლის შედეგად დადგინდა, რომ კომპანიას არ ჰქონდა მიღებული სათანადო ტექნიკური და ორგანიზაციული ზომები, რათა თავიდან აეცილებინა მესამე პირების მიერ მომხმარებელთა ანგარიშებზე უკანონო წვდომა.

აღნიშნული დარღვევა შეფასდა როგორც მნიშვნელოვანი ზიანის მომტანი, რადგან მესამე პირებმა მოახერხეს დიდი მოცულობის მონაცემებზე წვდომა, რაც „ფიშინგშეტევების“ გავრცელების საფუძველი გახდა. საზედამხედველო ორგანომ განსაკუთრებული ყურადღება გაამახვილა პირადობის დამადასტურებელ დოკუმენტებზე წვდომის საკითხზე, რამაც ვინაობის მითვისების რეალური რისკი შექმნა.

საზედამხედველო ორგანოს გადაწყვეტილება

ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტის მნიშვნელოვანი დარღვევა დაადგინა და მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს სანქციის სახით 2,500,000 ევროს ოდენობით ჯარიმა შეუფარდა. ესპანეთის ადმინისტრაციული საპროცესო კანონმდებლობის (Law 39/2015) შესაბამისად, კომპანიას მიეცა შესაძლებლობა ნებაყოფლობით გადაეხადა ჯარიმა, რაც ამ უკანასკნელის 20%-ით შემცირების საფუძველი გახდა.

მოგვიანებით განსაზღვრული სანქცია კიდევ 20%-ით შემცირდა, რადგან კომპანიამ თავისი პასუხისმგებლობა აღიარა. შედეგად, ჯარიმის ოდენობა საბოლოოდ 1,500,000 ევროს ოდენობით განისაზღვრა.

[1] AEPD (Spain) - EXP202402154, <https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202402154> [24.10.2025].