პერსონალურ მონაცემთა დაცვის სამსახურმა ერთ-ერთ სამინისტროში თანამშრომლების მონაცემთა დაცვის კუთხით დარღვევა აღმოაჩინა და შესაბამისი სამინისტრო სამართალდამრღვევად ცნო.
პერსონალურ მონაცემთა დაცვის სამსახურმა, ანონიმური შეტყობინების საფუძველზე ერთ-ერთ სამინისტროში არაგეგმური შემოწმება ჩაატარა, რის შედეგადაც დაადგინა, რომ სამინისტრო თანამშრომლობის თვითმონიტორინგისა და ინფორმაციული უსაფრთხოების მოტივით თანამშრომლების მიერ გამოყენებულ კომპიუტერულ პროგრამების, დათვალიერებულ ვებგვერდების, ამ გვერდების შინაარსის და მათი გამოყენების დროსთან დაკავშირებით ინფორმაციას აგროვებდა.
სამინისტროს პროგრამული საშუალებით თანამშრომელთა მონიტორინგის/თვითმონიტორინგის მიზნით მონაცემების დამუშავების შეწყვეტა და უკვე დამუშავებული მონაცემების წაშლა დაევალა.
შესწავლის ფარგლებში დადგინდა, რომ სამინისტროს და მის სისტემაში შემავალი 10-ზე მეტი იურიდიულ პირის თანამშრომლების 3000-მდე კომპიუტერზე გააქტიურებული იყო სპეციალური ტექნიკური მხარდაჭერის პროგრამა, რომელიც IT მოთხოვნის, სამსახურიდან დროებითი დათხოვნის და საშვის მოთხოვნის გასაგზავნად გამოიყენებოდა, თუმცა ამავდროულად აგროვებდა სამინისტროს სისტემაში დასაქმებული პირების მიერ კომპიუტერების საშუალებით განხორციელებული ქმედებებზე დეტალურ ინფორმაციას.
სამსახურის ცნობით, შეგროვებული მონაცემები მოიცავდა დასაქმებულების მიერ კომპიუტერში გამოყენებული ელექტრონული პროგრამების (მაგალითად: „Opera“ „Google Chrome“, „Pdf“, „Word“, „Exel“,) დასახელებას, აღნიშნული პროგრამების გამოყენების პერიოდს, პროგრამებში გახსნილი აქტიური ფანჯრების დასახელებას, რაც გულისხმობდა მაგალითად ვებგვერდის სათაურზე წვდომის და ამ ვებგვერდზე განთავსებული ინფორმაციის მარტივად გაცნობის შესაძლებლობასაც და სხვა.
ასევე, სამინისტროს შემუშავებული ჰქონდა სპეციალური სიტყვები (მაგალითად, „facebook“, „porn“), აღნიშნული სიტყვების ნებისმიერი პროგრამის აქტიურ ფანჯარაში აღმოჩენის შემთხვევაში კი შესაბამისი საკვანძო სიტყვის გამოყენების პერიოდები ჯამდებოდა.
შედეგად, თითოეული თანამშრომლის შესახებ გროვდებოდა ინფორმაცია მის მიერ გამოყენებულ კომპიუტერულ პროგრამებთან, დათვალიერებულ ვებგვერდებთან და ამ გვერდების შინაარსზე
სამსახურის მხრიდან შემოწმების შედეგად ასევე გამოვლინდა, რომ ტექნიკური მხარდაჭერის პროგრამაში ჩართული თითოეული თანამშრომლისათვის ხელმისაწვდომი იყო მის მიერ ბოლო 60 დღის მანძილზე აქტივობების შესახებ სტატისტიკური ინფორმაცია – თანამშრომლის მიერ ყველაზე ხანგრძლივად გამოყენებული 15 პროგრამის და საკვანძო სიტყვის (მაგ: „Facebook“, „Eflow“, „eDocument“ და სხვა) ჩამონათვალი, გამოყენების ხანგრძლივობების შესაბამისი პროცენტული მაჩვენებლებით.
უწყების მასშტაბით შეგროვებული ეს დეტალური ინფორმაცია კი ხელმისაწვდომი იყო სამინისტროს სისტემაში შემავალი დაწესებულებების, მათ შორის HR დეპარტამენტების 30-მდე თანამშრომლისთვის.
სამინისტროს განმარტებით, პროგრამის საშუალებით მოპოვებული მონაცემები დასაქმებულებისთვის წარმოადგენდა საკუთარი დროის თვითმონიტორინგის (იმის დადგენის, თუ რა დროს უთმობდნენ საქმეს და რა დროს – სხვა საკითხებს) საშუალებას, გარდა ამისა, მისი ფუნქციონირება განპირობებული იყო სამინისტროს ინფორმაციული უსაფრთხოების მიზნებითაც.
პერსონალურ მონაცემთა დაცვის სამსახურის ინფორმაციით, გამოირკვა, რომ სამინისტროს ინფორმაციული ტექნოლოგიების დეპარტამენტის ხელმძღვანელის გარდა პრაქტიკაში სამინისტროს შესაბამისი მენეჯერები შეგროვებულ მონაცემებს არ იყენებდნენ. ასევე, თანამშრომლები არ იყვნენ ან არასათანადოდ იყვნენ ინფორმირებულნი ტექნიკური მხარდაჭერის პროგრამის საშუალებით მათი, მათ შორის, ხსენებული ინფორმაციის სტატისტიკური სახით ხელმისაწვდომობაზე. გარდა ამისა, მოპოვებული მონაცემების ნაწილი არ იყო საჭირო სამინისტროს ინფორმაციული უსაფრთხოებისთვის.
საკითხის შეფასებისას სამსახურმა იხელმძღვანელა, მათ შორის, დასაქმებულ პირთა მონაცემების დამუშავებასთან დაკავშირებით ადამიანის უფლებათა ევროპული სასამართლოს რამდენიმე გადაწყვეტილებით და დაადგინა, რომ:
- სამინისტროს მიერ ტექნიკური მხარდაჭერის პროგრამის მეშვეობით დამუშავებული მონაცემების ნაწილი შესაძლოა შეიცავდეს ადამიანის არა სამსახურებრივ, არამედ პირად ინფორმაციას, ვინაიდან სამსახურებრივი საქმიანობის პროცესშიც არსებობს სხვა ადამიანებთან ურთიერთობის ისეთი ზონა, რომელიც მისი პირადი ცხოვრების ნაწილად უნდა იქნეს მოაზრებული. თანამშრომლების პერსონალური მონაცემების მითითებული ფორმით მოპოვება და დამუშავება არ იქნა მიჩნეული თანამშრომელთა სამსახურებრივი მონიტორინგის მიზნის მიღწევის თანაზომიერ საშუალებად;
- ტექნიკური მხარდაჭერის პროგრამის საშუალებით შეგროვებული მონაცემების თანამშრომელთა თვითმონიტორინგის მიზნით დამუშავება არ ეფუძნებოდა დასაქმებულთა სურვილსა და ნებას, არ იყვნენ სათანადოდ ინფორმირებულნი და დასახელებული შესაძლებლობით აქტიურად არც სარგებლობდნენ. პერსონალურ მონაცემთა დაცვის სამსახურის შეფასებით, თანამშრომელთა სათანადოდ ინფორმირების პირობებშიც კი მოპოვებული კომპიუტერული მონაცემების გამოყენებით სამუშაო დროის უკეთ ორგანიზება მხოლოდ დასაქმებულის ნებაზე იქნებოდა დამოკიდებული. შესაბამისად, თვითმონიტორინგის მიზნით ტექნიკური მხარდაჭერის პროგრამის საშუალებით კომპიუტერული აქტივობების შესახებ მონაცემების მოპოვება და შემდგომი დამუშავება მხოლოდ დასაქმებულების სურვილის, ინიციატივის საფუძველზე შეიძლებოდა განხორციელებულიყო;
- რაც შეეხება ინფორმაციული უსაფრთხოების მიზნით მონაცემების მოპოვებას, დადგინდა, რომ სამინისტრო იყო კრიტიკული ინფრასტრუქტურის პირველი ხარისხის სუბიექტი, ის იყენებდა რამდენიმე სახის და სხვადასხვა დონის ლიცენზირებულ თანამედროვე მოწყობილობებს და პროგრამულ უზრუნველყოფას. შესაბამისად, სადავო პროგრამით მოპოვებული მონაცემები იშვიათად იქნებოდა გამოსადეგი ინფორმაციული უსაფრთხოების მიზნების მისაღწევად, რის გამოც, ამ გზით თანამშრომლების სამუშაო კომპიუტერებიდან მონაცემები მხოლოდ მინიმალური მოცულობით უნდა შეგროვებულიყო, ხოლო აღრიცხულ ინფორმაციაზე წვდომები მაქსიმალურად შეზღუდულიყო.
პერსონალურ მონაცემთა დაცვის სამსახურმა დაადგინა, რომ თვითმონიტორინგის მიზნით თანამშრომელთა სურვილის და ინიციატივის, ასევე მათი ინფორმირების გარეშე ამ მოცულობის მონაცემების დამუშავება გაუმართლებელი იყო. ინფორმაციული უსაფრთხოების მიზნებისთვის კი სამინისტროს მიერ მიღებული ორგანიზაციულ-ტექნიკური ზომები მონაცემების უკანონო მოპოვების რისკებს ქმნიდა.
აღნიშნული მიუთითებდა “პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის მე-17 მუხლის (მონაცემების უსაფრთხოება) დარღვევაზე, რის გამოც სამინისტრო სამართალდამრღვევად იქნა ცნობილი, “პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის 46-ე მუხლით გათვალისწინებული სამართალდარღვევისთვის.
ამასთან, სამსახურის ცნობით, ტექნიკური მხარდაჭერის პროგრამის მეშვეობით მონაცემთა დამუშავების პროცესის კომპლექსურობის გათვალისწინებით, სამინისტროს მიეცა შესასრულებლად სავალდებულო დავალებები, მათ შორის დაევალა აღნიშნული პროგრამული საშუალებით სამინისტროს თანამშრომელთა მონიტორინგის/თვითმონიტორინგის მიზნით მონაცემების დამუშავების შეწყვეტა და უკვე დამუშავებული მონაცემების წაშლა.
