სახელმწიფო აუდიტის სამსახური

საერთო დანიშნულების სახელმწიფო მომსახურება 13 მარტი, 2020
პერსონალურ მონაცემთა დაცვის უზრუნველყოფის ეფექტიანობის აუდიტის ანგარიში
პერიოდი: 2018, 2017, 2016, 2015, 2014, 2013

ადამიანის უფლებათა დაცვის მიმართულებით ბოლო პერიოდში განსაკუთრებით აქტუალურია პერსონალურ მონაცემებთან დაკავშირებული საკითხები. ინფორმაციული ტექნოლოგიების განვითარებამ მნიშვნელოვანი გავლენა იქონია პერსონალური მონაცემების კანონშეუსაბამო დამუშავების საფრთხეებზე.

ადამიანის უფლებათა ევროპული სასამართლო პირადი ცხოვრების ხელშეუხებლობას ადამიანის ავტონომიურობის, დამოუკიდებელი განვითარების, მისი ღირსების დაცვის წინაპირობად მიიჩნევს.

საერთაშორისო სამართლის ნორმების მიხედვით, პირადი ცხოვრების პატივისცემის უფლება აღიარებულია ერთ-ერთ უმნიშვნელოვანეს და ფუნდამენტურ უფლებად, რომლის დაცვის უზრუნველყოფა თითოეული სახელმწიფოს ვალდებულებაა. ამ უფლების დაცვის განსაკუთრებულ მნიშვნელობაზე ყურადღებას ამახვილებს საქართველოს კანონმდებლობაც.

საკითხის აქტუალობიდან და მაღალი საზოგადოებრივი ინტერესიდან გამომდინარე, სახელმწიფო აუდიტის სამსახურმა შეისწავლა ამ მიმართულებით არსებული პრობლემები, მათი გამომწვევი მიზეზები და შეიმუშავა შედეგზე ორიენტირებული რეკომენდაციები.

აუდიტის შედეგად გამოვლინდა შემდეგი მიგნებები:

ინსპექტირების გეგმის შედგენის საფუძველია რისკების ანალიზი, რომელმაც უნდა უზრუნველყოს მნიშვნელოვანი საკითხების იდენტიფიცირება. 2013-2018 წლებში შემოწმების (ინსპექტირების) წლიური გეგმა არ დამტკიცებულა. შესაბამისად, არცერთ ორგანიზაციაში პერსონალური მონაცემების დამუშავების კანონიერების დასადგენად გეგმური შემოწმება არ ჩატარებულა. მიღებული განმარტებით, მიზეზი ის არის, რომ წლის განმავლობაში სავალდებულოდ განსახილველი საჩივრებისა და განცხადებების რაოდენობა წინასწარ არ არის განსაზღვრული. აღსანიშნავია, რომ რამდენიმე შემოწმება განხორციელდა სამსახურის ინიციატივით.

სამსახურის საქმიანობა ძირითადად დამოკიდებულია შესულ საჩივრებსა და განცხადებებზე. შედეგად, დაბალია აქტივობა პერსონალურ მონაცემთა კანონშეუსაბამო დამუშავების ფაქტების პროაქტიული გამოვლენისა და დარღვევათა პრევენციის მიმართულებით, რაც, შეზღუდული ადამიანური რესურსის პირობებში, ვერ უზრუნველყოფს ორგანიზაციის ეფექტიან ფუნქციონირებას. საქმიანობის განხორციელებისას, სამსახური ორიენტირებული უნდა იყოს საჯარო მმართველობის გაუმჯობესებაზე, რაც მიიღწევა სისტემური ხასიათის დარღვევა-ნაკლოვანებების გამოვლენით, შესაბამისი გადაწყვეტილებებისა და რეკომენდაციების შემუშავებით, გაცემით და მათი შესრულების მონიტორინგით.

გამოვლინდა, რომ აპარატს გადაწყვეტილებებისა და რეკომენდაციების სისტემატიზებული აღრიცხვის მექანიზმი არ აქვს დანერგილი. ამასთანავე, მიღებული განმარტებით, მხოლოდ გადაწყვეტილებების შესრულებაზე ხორციელდება მონიტორინგი.

სისტემატიზებული აღრიცხვის მექანიზმის არსებობა ორგანიზაციას მისცემს შესაძლებლობას, ეფექტიანად შეაფასოს გადაწყვეტილებების და რეკომენდაციების შესრულების მდგომარეობა და მიღებული შედეგები. როგორც ეროვნული კანონმდებლობით, ისე საერთაშორისო პრაქტიკით, ინფორმაციის თავისუფლება და პერსონალურ მონაცემთა დაცვის უფლება არ წარმოადგენს აბსოლუტურ უფლებას. მათი შეზღუდვა შესაძლებელია შესაბამისი ლეგიტიმური მიზნის არსებობისას, მათ შორის: ინფორმაციის თავისუფლების შეზღუდვის საფუძველია პერსონალური მონაცემების დაცვა, ხოლო პერსონალური მონაცემების დაცვის შეზღუდვის საფუძველი − საჯარო ინტერესი.

საჯარო ინტერესის ტესტი მაღალი საზოგადოებრივი ინტერესისა და პერსონალური მონაცემის სენსიტიურობის ანალიზის საფუძველზე პერსონალური მონაცემების გასაჯაროების საკითხის გადაწყვეტას ითვალისწინებს. ამასთანავე, ეროვნულ კანონმდებლობაში არ არის დეტალურად აღწერილი კრიტერიუმები, რომლებიც ამ საკითხზე ადმინისტრაციული ორგანოს მსჯელობისას პირადი ინფორმაციის კონფიდენციალობის დაცვისა და ამ ინფორმაციაზე ხელმისაწვდომობის ინტერესებს შორის გონივრული ბალანსის დაცვას უზრუნველყოფს. საკანონმდებლო რეგულირების ზოგადი ხასიათი წარმოქმნის როგორც პირად საკითხებთან დაკავშირებული სენსიტიური ინფორმაციის ლეგიტიმური მიზნის შეუსაბამოდ გასაჯაროების, ისე მაღალი საზოგადოებრივი ინტერესის მქონე ინფორმაციის ხელმისაწვდომობის უსაფუძვლო შეზღუდვის შესაძლებლობას.

რიგ შემთხვევებში, დადგენილ საჯარიმო სანქციებს შემაკავებელი ეფექტი არ აქვს და ვერ უზრუნველყოფს პერსონალურ მონაცემთა დაცვის სფეროში კანონდარღვევათა ჩადენის პრევენციას. არსებულ პირობებში მონაცემთა დამმუშავებლისთვის ეკონომიკური თვალსაზრისით უფრო გამართლებულია ერთჯერადად სანქციის გადახდა. აღნიშნულზე მიუთითებს წლის განმავლობაში განმეორებითი დაჯარიმების შემთხვევების სტატისტიკური მონაცემებიც.

აპარატის მიერ ჩატარებული 976 შემოწმებიდან, 205 შემთხვევაში (21%) ადმინისტრაციული პასუხისმგებლობა არ იქნა დაკისრებული ადმინისტრაციული სახდელის დადების ორთვიანი ხანდაზმულობის ვადის გასვლის გამო, რაც დაგვიანებული მომართვებითა და არსებული რესურსების სიმცირის გამო დაგვიანებული რეაგირებითაა გამოწვეული. ასევე აღსანიშნავია, რომ გარკვეული მომართვების კომპლექსურობიდან გამომდინარე, განხილვისთვის საკმაოდ დიდი დროა საჭირო და სახდელის დაკისრება ვერ ესწრება დადგენილ ვადაში. პერსონალურ მონაცემთა ბაზა ფაილური სისტემაა, სადაც მონაცემები დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმების მიხედვით.

მიუხედავად კანონმდებლობის მოთხოვნისა, 2018 წლის მდგომარეობით, საქართველოში რეგისტრირებული 139,488 ერთეული კერძო და საჯარო ორგანიზაციიდან, ფაილური სისტემის კატალოგი სულ წარმოდგენილი აქვს 2,235 სუბიექტს (1.6%). ზემოაღნიშნულიდან გამომდინარე, აპარატში ფაილური სისტემის კატალოგის სრულყოფა არ მიმდინარეობს და შესაბამისად, არც ანალიზი კეთდება, რაც აფერხებს საზედამხედველო ფუნქციების ეფექტიანად განხორციელების შესაძლებლობას.

კარგი პრაქტიკის შესწავლით გამოვლინდა, რომ პერსონალურ მონაცემთა დამუშავებაზე საზედამხედველო ფუნქციების უზრუნველსაყოფად, ნაწილი ქვეყნებისა, მაგალითად. ხორვატია, სლოვაკეთი, ისლანდია − იყენებს ფაილური სისტემის კატალოგს (ცენტრალიზებული მიდგომა), ხოლო გერმანიაში, ავსტრიაში, ჩეხეთსა და გაერთიანებულ სამეფოში, კანონმდებლობა ავალდებულებს პერსონალურ მონაცემთა დამმუშავებელს, გამოყოს პასუხისმგებელი პირი (დეცენტრალიზებული მიდგომა), რომელიც ვალდებულია უზრუნველყოს მონაცემთა დამუშავება კანონმდებლობის შესაბამისად. აღსანიშნავია, რომ შესაძლოა არსებობდეს კომბინირებული მიდგომაც.

აპარატის განმარტებით, მიმდინარეობს მუშაობა საკანონმდებლო ცვლილებებზე, რომელიც მონაცემთა სუბიექტების და საზედამხედველო ორგანოს წინაშე მონაცემთა დამმუშავებელი ორგანიზაციების ანგარიშვალდებულების სხვადასხვა მექანიზმს ითვალისწინებს. პერსონალურ მონაცემთა დაცვის მიმართულებით საზოგადოების ცნობიერების დონე არასაკმარისია, რაზეც მეტყველებს ჩატარებული კვლევის შედეგები.

მიუხედავად იმისა, რომ მოქალაქეთა ცნობიერების ამაღლების საკითხი ხაზგასმულია სახელმწიფო ინსპექტორის სამსახურის ინსტიტუციური განვითარების სტრატეგიაში, ზუსტად ვერ ხერხდება იმის შეფასება, რამდენად მიაღწია აპარატმა აღნიშნულ მიზანს, ვინაიდან ორგანიზაციის სტრატეგიულ და მოკლევადიან სამოქმედო გეგმებში არ არის განსაზღვრული გაზომვადი კრიტერიუმები და ინდიკატორები, რომელთა მიხედვით შესაძლებელი იქნება მიღწეული შედეგის შეფასება.

რეკომენდაცია N1: სახელმწიფო ინსპექტორის სამსახურს − სახელმწიფო ინსპექტორის სამსახურის საქმიანობის პროდუქტიულობის გაზრდის მიზნით, სასურველია შემუშავდეს ინსპექტირების წლიური გეგმა და განისაზღვროს პრიორიტეტული მაღალრისკიანი სფეროები, რომელთა შერჩევა დაფუძნებული იქნება შესაბამის კრიტერიუმებზე.

რეკომენდაცია N2: სახელმწიფო ინსპექტორის სამსახურს − სახელმწიფო ინსპექტორის სამსახურის მიერ გაცემული გადაწყვეტილებების და რეკომენდაციების ეფექტიანი შესრულებისთვის, მიზანშეწონილია დაინერგოს გადაწყვეტილებებისა და რეკომენდაციების შესრულების მონიტორინგის სისტემა, რომელიც საშუალებას მისცემს ორგანიზაციას დაადგინოს შესრულების მაჩვენებელი, ხოლო შეუსრულებელ რეკომენდაციებზე განხორციელდეს დროული რეაგირება.

რეკომენდაცია N3: სახელმწიფო ინსპექტორის სამსახურს − პერსონალური მონაცემების დაცვისა და ინფორმაციის თავისუფლების ინტერესებს შორის გონივრული, პროპორციული, თანაზომიერი ბალანსის უზრუნველყოფის მიზნით, მიზანშეწონილია სამსახურმა იმსჯელოს საკანონმდებლო წინადადების მომზადებაზე, რომლითაც განისაზღვრება შეძლებისდაგვარად მოქნილი სისტემა, მკაფიო კრიტერიუმებით, პერსონალური მონაცემების გასაჯაროების საკითხის გადასაწყვეტად.

რეკომენდაცია N4: სახელმწიფო ინსპექტორის სამსახურს − პერსონალურ მონაცემთა დაცვის შესახებ საკანონმდებლო მოთხოვნების შესრულების უზრუნველსაყოფად, მიზანშეწონილია, ჯარიმის, როგორც შემაკავებელი ეფექტის მქონე მექანიზმის ასამოქმედებლად, სამსახურმა, საუკეთესო პრაქტიკებისა და არსებული რეალობის გათვალისწინებით, იმსჯელოს საკანონმდებლო წინადადების მომზადებაზე.

რეკომენდაცია N5: სახელმწიფო ინსპექტორის სამსახურს − პერსონალურ მონაცემთა დაცვის სფეროში სამართალდარღვევათა ეფექტური ადმინისტრირებისთვის, მიზანშეწონილია სამსახურმა მოამზადოს საკანონმდებლო წინადადება სახდელის დადების ოპტიმალური ვადების განსაზღვრის მიმართულებით.

რეკომენდაცია N6: სახელმწიფო ინსპექტორის სამსახურს − პერსონალურ მონაცემთა დამუშავების ეფექტიანი კონტროლის უზრუნველსაყოფად, პროფესიული მსჯელობისა და კარგი პრაქტიკის გათვალისწინებით, მიზანშეწონილია სამსახურის მიერ მომზადებული საკანონმდებლო წინადადება ითვალისწინებდეს შესაბამის მექანიზმებს, რომლებიც სახელმწიფო ინსპექტორის სამსახურს მისცემს შესაძლებლობას ფლობდეს სრულყოფილ ინფორმაციას ქვეყანაში პერსონალურ მონაცემთა დამმუშავებელი სუბიექტების და მათ მიერ დამუშავებული მონაცემების შესახებ.

რეკომენდაცია N7: სახელმწიფო ინსპექტორის სამსახურს − სახელმწიფო ინსპექტორის სამსახურის საქმიანობის და მონაცემთა დაცვის სისტემის ეფექტიანად ფუნქციონირებისთვის, მიზანშეწონილია სამსახურმა შეიმუშაოს გაზომვადი ინდიკატორები, რომლებიც შესაძლებელს გახდის სამსახურის მიერ ცნობადობის გაზრდის კუთხით განხორციელებული აქტივობების შედეგების შეფასებას.