“მონაცემების ნაწილი შეიცავდა ადამიანის პრივატულ ინფორმაციას” - რა დარღვევა გამოვლინდა გარემოს დაცვის სამინისტროში

02.04.2024 / 18:37 “მონაცემების ნაწილი შეიცავდა ადამიანის პრივატულ ინფორმაციას” - რა დარღვევა გამოვლინდა გარემოს დაცვის სამინისტროში

„შემოწმების ფარგლებში გამოირკვა, რომ სამინისტროს მიერ ტექნიკური მხარდაჭერის პროგრამის მეშვეობით დამუშავებული მონაცემების ნაწილი შეიცავდა ადამიანის არა სამსახურებრივ, არამედ პირად/პრივატულ ინფორმაციას, ხოლო ტექნიკური მხარდაჭერის პროგრამის საშუალებით შეგროვებული მონაცემების თანამშრომელთა თვითმონიტორინგის მიზნით დამუშავება არ ეფუძნებოდა აღნიშნულ პირთა სურვილსა და ნებას“,- ამის შესახებ პერონალურ მონაცემთა დაცვის სამსახურის 2023 წლის ანგარიშშია აღნიშნული.

საქმე ეხება გარემოს დაცვისა და სოფლის მეურნეობის სამინისტროს მიერ დასაქმებული პირების კომპიუტერული მონაცემების მოპოვებას. პერსონალურ მონაცემთა დაცვის სამსახურმა, ანონიმური შეტყობინების საფუძველზე, სამინისტროში თანამშრომელთა მიერ სამსახურებრივი კომპიუტერებით განხორციელებული ქმედებების აღრიცხვის მიზნებისა და აღნიშნული მონაცემების მოსაპოვებლად თანამშრომელთა ინფორმირებასთან დაკავშირებული საკითხების, აგრეთვე, ტექნიკური მხარდაჭერის პროგრამის საშუალებით მონაცემთა დამუშავების პროცესსა და მონაცემთა უსაფრთხოებასთან დაკავშირებული საკითხების გამოკვლევის მიზნით არაგეგმური შემოწმება ჩაატარა.

როგორც ანგარიშშია აღნიშნული, შესწავლის შედეგად დადგინდა, რომ სამინისტროს და მის სისტემაში შემავალი 10- ზე მეტი იურიდიული პირის თანამშრომლების 3000-მდე კომპიუტერზე გააქტიურებული იყო სპეციალური ტექნიკური მხარდაჭერის პროგრამა, რომელიც IT მოთხოვნის, სამსახურიდან დროებითი დათხოვნის და საშვის მოთხოვნის გასაგზავნად გამოიყენებოდა. თუმცა, იმავდროულად, აგროვებდა სამინისტროს სისტემაში დასაქმებული პირების მიერ კომპიუტერების საშუალებით 17 განხორციელებული ქმედებების თაობაზე დეტალურ ინფორმაციას. შეგროვებული მონაცემები მოიცავდა დასაქმებულების მიერ კომპიუტერში გამოყენებული ელექტრონული პროგრამების დასახელებას, აღნიშნული პროგრამების გამოყენების პერიოდს, პროგრამებში გახსნილი აქტიური ფანჯრების (ე.წ. “Tab”) დასახელებას და სხვა. ასევე, სამინისტროს შემუშავებული ჰქონდა სპეციალური სიტყვები, რომელთა პროგრამის აქტიურ ფანჯარაში აღმოჩენის შედეგად, თითოეული თანამშრომლის შესახებ გროვდებოდა ინფორმაცია მის მიერ გამოყენებულ კომპიუტერულ პროგრამებთან, დათვალიერებულ ვებგვერდებთან და ამ გვერდების შინაარსთან დაკავშირებით.

„ტექნიკური მხარდაჭერის პროგრამაში ხელმისაწვდომი იყო თანამშრომელთა მიერ ბოლო 60 დღის განმავლობაში განხორციელებული აქტივობების შესახებ სტატისტიკური ინფორმაცია, კერძოდ, თანამშრომლის მიერ ყველაზე ხანგრძლივად გამოყენებული პროგრამების და საკვანძო სიტყვების ჩამონათვალი გამოყენების ხანგრძლივობების შესაბამისი პროცენტული მაჩვენებლების მითითებით. ხსენებულ ინფორმაციაზე წვდომა კი ჰქონდა სამინისტროს სისტემაში შემავალი დაწესებულებების 30-მდე თანამშრომელს. იმავდროულად, სამსახურმა გამოარკვია, რომ ზემოაღნიშნულ პროცესში დამუშავებულ მონაცემებს შრომითი საქმიანობის ფარგლებში თანამშრომელთა მონიტორინგის მიზნით იყენებდა ერთ-ერთი დეპარტამენტი, რომლის უფროსი მივლინების დროს აკონტროლებდა თავისი თანამშრომლების აქტივობებს. პროგრამის საშუალებით მოპოვებული მონაცემები დასაქმებულთათვის წარმოადგენდა ასევე საკუთარი დროის თვითმონიტორინგის საშუალებას იმის დასადგენად, თუ რა დროს უთმობდნენ საქმეს და რა დროს – პირად საკითხებს. თუმცა, თანამშრომლები არ იყვნენ/არასათანადოდ იყვნენ ინფორმირებულნი ტექნიკური მხარდაჭერის პროგრამის საშუალებით ინფორმაციის სტატისტიკური სახით ხელმისაწვდომობის თაობაზე. სამსახურის მიერ განხორციელებული შემოწმების ფარგლებში გამოირკვა, რომ სამინისტროს მიერ ტექნიკური მხარდაჭერის პროგრამის მეშვეობით დამუშავებული მონაცემების ნაწილი შეიცავდა ადამიანის არა სამსახურებრივ, არამედ პირად/პრივატულ ინფორმაციას, ხოლო ტექნიკური მხარდაჭერის პროგრამის საშუალებით შეგროვებული მონაცემების თანამშრომელთა თვითმონიტორინგის მიზნით დამუშავება არ ეფუძნებოდა აღნიშნულ პირთა სურვილსა და ნებას, ისინი არ იყვნენ ჯეროვნად ინფორმირებულნი და ამ შესაძლებლობით აქტიურად არც სარგებლობდნენ.

რაც შეეხება ინფორმაციული უსაფრთხოების მიზნით მონაცემების მოპოვებას, დადგინდა, რომ სამინისტრო იყო კრიტიკული ინფრასტრუქტურის პირველი ხარისხის სუბიექტი, ის იყენებდა რამდენიმე სახის და სხვადასხვა დონის 18 ლიცენზირებულ თანამედროვე მოწყობილობებს და პროგრამულ უზრუნველყოფას. შესაბამისად, სადავო პროგრამით მოპოვებული მონაცემები იშვიათად იქნებოდა გამოსადეგი ინფორმაციული უსაფრთხოების მიზნების მისაღწევად, რის გამოც, ამ გზით თანამშრომლების სამუშაო კომპიუტერებიდან მონაცემები მხოლოდ მინიმალური მოცულობით უნდა შეგროვებულიყო, ხოლო აღრიცხულ ინფორმაციაზე წვდომები მაქსიმალურად შეზღუდულიყო. სამსახურის შეფასებით, თანამშრომელთა სათანადოდ ინფორმირების პირობებშიც კი, მოპოვებული კომპიუტერული მონაცემების გამოყენებით სამუშაო დროის უკეთ ორგანიზება მხოლოდ დასაქმებულის ნებაზე იქნებოდა დამოკიდებული. შესაბამისად, თვითმონიტორინგის მიზნით ტექნიკური მხარდაჭერის პროგრამის საშუალებით კომპიუტერული აქტივობების შესახებ მონაცემების მოპოვება და შემდგომი დამუშავება მხოლოდ დასაქმებულების სურვილის, ინიციატივის საფუძველზე შეიძლებოდა განხორციელებულიყო“,- აღნიშნულია ანგარიშში.

პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილებით დადგინდა, რომ სამინისტროს იდენტიფიცირებული ჰქონდა მონაცემთა დამუშავების რამდენიმე (თანამშრომელთა თვითმონიტორინგის და ინფორმაციული უსაფრთხოების) მიზანი, თუმცა თანამშრომელთა სურვილის და ინიციატივის, ამასთან, მათი ინფორმირების გარეშე გამოვლენილი მოცულობის მონაცემების დამუშავება თვითმონიტორინგის მიზნით გაუმართლებელი იყო, ინფორმაციული უსაფრთხოების მიზნებისთვის კი სამინისტროს მიერ მიღებული ორგანიზაციულ-ტექნიკური ზომები მონაცემების უკანონო მოპოვების რისკებს ქმნიდა.

„აღნიშნული მიუთითებდა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-17 მუხლის (მონაცემების უსაფრთხოება) დარღვევაზე, რის გამოც საქართველოს გარემოს დაცვისა და სოფლის მეურნეობის სამინისტრო სამართალდამრღვევად იქნა ცნობილი „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 46-ე მუხლის საფუძველზე“,- ნათქვამია ანგარიშში.

ცნობისთვის, სამსახურებრივი უფლებამოსილების შესრულების დროს განხორციელებული სატელეფონო ზარები და კორესპონდენცია, მისი შინაარსის გათვალისწინებით, შესაძლოა წარმოადგენდეს დასაქმებული პირის პერსონალურ მონაცემებს. შესაბამისად, თანამშრომელთა შესახებ მონაცემების ფარულად მოპოვება სამსახურებრივ კომპიუტერებში გააქტიურებული აპლიკაციების, პროგრამებისა და სერვისების მეშვეობით პერსონალურ მონაცემთა არაკანონიერად დამუშავებად და პირად ცხოვრებაში არათანაზომიერ ჩარევად შეიძლება შეფასდეს.

ნინი ქეთელაური