2025-10-27

ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ

---

 

2025 წლის 8 სექტემბერს, ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ერთ-ერთ ბანკში იდენტიფიცირებული მონაცემთა უსაფრთხოების დარღვევის შესახებ გადაწყვეტილება[1]  მიიღო.

 

საქმის ფაქტობრივი გარემოებები

2022 წელს ფინურმა ბანკმა მობილურ  აპლიკაციაში “S-Mobile” ავთენტიფიკაციის ახალი მექანიზმი დანერგა. 2022 წლის 20 აპრილიდან 5 აგვისტოს ჩათვლით პროგრამული ხარვეზის გამო, მომხმარებლებს სხვა მომხმარებლის პირად ანგარიშზე შესვლისა და საგადასახადო ოპერაციების (ტრანზაქციების) შესრულების შესაძლებლობა ჰქონდათ. მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) შედეგად, მრავალ პირს დიდი ოდენობით ფინანსური ზიანი მიადგა.

დარღვევის აღმოჩენისთანავე, დამუშავებისთვის პასუხისმგებელმა პირმა (ბანკმა) საზედამხედველო ორგანოს ინციდენტის შესახებ აცნობა, რომელმაც, თავის მხრივ, საკითხის შესწავლა დაიწყო.

დამუშავებისთვის პასუხისმგებელი პირის განმარტებით, ბანკს დანერგილი ჰქონდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 25-ე და 32-ე მუხლებით გათვალისწინებული შესაბამისი ტექნიკური და ორგანიზაციული ზომები, თუმცა პროგრამული ხარვეზის შინაარსიდან გამომდინარე, მისი აღმოჩენა პრაქტიკულად შეუძლებელი იყო. გარდა ამისა, ბანკის განცხადებით, სისტემაში შესვლის დროს ავთენტიფიკაციის პროცესის გამართულად ფუნქციონირებაზე პასუხისმგებლობა მის დამუშავებაზე უფლებამოსილ პირს (მომსახურების მიმწოდებელს) ეკისრებოდა.

 

საზედამხედველო ორგანოს შეფასება

ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს შეფასებით, ბანკმა ვერ უზრუნველყო მონაცემთა უსაფრთხოების დაცვა სათანადო დონეზე.
დადგინდა, რომ აპლიკაციის შესვლის სისტემაში არსებული ხარვეზი არც იმდენად „უჩვეულო“ იყო, რომ მისი აღმოჩენა ბანკისთვის შეუძლებელი ყოფილიყო.
“GDPR”-ის 32(1)-ე მუხლის მოთხოვნათა დაცვით დამუშავებისთვის პასუხისმგებელი პირის მიერ ახალი ფუნქციონალის სათანადოდ და სრულად შესწავლის შემთხვევაში, ხარვეზი დროულად გამოვლინდებოდა.

გარდა ამისა, საზედამხედველო ორგანომ აღნიშნა, რომ ბანკის მიერ ახალი პროგრამული უზრუნველყოფის დანერგვის შემდეგ მიღებული ზომები არ პასუხობდა მონაცემთა დამუშავებასთან დაკავშირებულ რისკებს. ასევე, მიუთითა, რომ ბანკი პასუხისმგებელი იყო იმ დარღვევებზეც, რომლებიც მისი დამუშავებაზე უფლებამოსილი პირის მიერ იყო გამოწვეული.

 

საზედამხედველო ორგანოს გადაწყვეტილება

ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტის („მონაცემთა მთლიანობისა და კონფიდენციალურობის ვალდებულება„), 25-ე მუხლის პირველი პუნქტის („მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას„) და 32-ე მუხლის პირველი პუნქტის („სათანადო ტექნიკური და ორგანიზაციული ზომების მიღების ვალდებულება„) დარღვევა დაადგინა.

აღნიშნულიდან გამომდინარე, მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ჯარიმა 1 800 000 ევროს ოდენობით.

ჯარიმის ოდენობის განსაზღვრისას, მხედველობაში იქნა მიღებული გარემოება, რომლის თანახმად, 2025 წლის მაისში ფინეთის ფინანსურმა საზედამხედველო ორგანომ ბანკი ოპერაციული რისკების მართვისას გამოვლენილი დაუდევრობის გამო 7 670 000 ევროს ოდენობით დააჯარიმა. შესაბამისად, მონაცემთა უსაფრთხოების დარღვევასთან დაკავშირებული სანქცია, დაახლოებით, ერთი მესამედით შემცირდა იმ თანხასთან მიმართებით, რომლებიც სხვა შემთხვევაში განისაზღვრებოდა.