სახელმწიფო ინსპექტორის სამსახურმა 2021 წელს საკუთარი ინიციატივითა და მოქალაქეთა მომართვის საფუძველზე, შრომითი ურთიერთობის ფარგლებში პერსონალური მონაცემების დამუშავების კანონიერების შესწავლის მიზნით, რამდენიმე, მათ შორის, სავაჭრო, სადაზღვევო და მიკროსაფინანსო ორგანიზაცია შეამოწმა.
სახელმწიფო ინსპექტორის სამსახურის ცნობით, შესწავლის შედეგად სახელმწიფო ინსპექტორის სამსახურმა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის დარღვევის არაერთი ფაქტი გამოავლინა.
კერძოდ, როგორც ინსპექტორის სამსახურში აცხადებენ, ანალოგიური დარღვევების პრევენციისა და პერსონალურ მონაცემთა დაცვის სტანდარტის ამაღლების მიზნით, გამოიკვეთა დაღვევის ფაქტები:
ერთ-ერთ ორგანიზაციაში, შიდა დოკუმენტბრუნვისთვის განკუთვნილ პორტალზე, ყოველგვარი საჭიროების გარეშე ატვირთული იყო და უვადოდ ინახებოდა ინფორმაცია დასაქმებულების, მათ შორის, ყოფილი დასაქმებულების ნასამართლობის შესახებ. ვინაიდან ორგანიზაციამ განსაკუთრებული კატეგორიის მონაცემების დამუშავების კანონიერი მიზანი და საჭიროება ვერ დაასახელა, ფაქტი შეფასდა კანონის დარღვევად;
ერთ შემთხვევაში, ორგანიზაცია დასაქმების მსურველი კანდიდატების რეზუმეებს, მათი ინფორმირების გარეშე, ინახავდა უვადოდ იმ მიზნით, რომ მომავალში სხვა ვაკანსიაზე განეხილა მათი კანდიდატურა.
იმის გათვალისწინებით, რომ გარკვეული დროის გასვლის შემდგომ, პირის შესახებ რეზიუმეში მითითებული მონაცემები შესაძლოა შეიცვალოს (და დოკუმენტი არ იყოს გამოსადეგი) ან პირი აღარ იყოს დაინტერესებული ორგანიზაციაში დასაქმებით და ამასთან, დიდი რაოდენობით მონაცემების შეგროვება ზრდის მონაცემებზე არაკანონიერი წვდომისა და გამოყენების რისკებს, აღნიშნული ფაქტი შეფასდა კანონის დარღვევად;
რამდენიმე ორგანიზაციაში მომსახურების ხარისხისა და მომხმარებელთა უფლებების დაცვის მიზნით, მიმდინარეობდა დასაქმებულთა და მესამე პირებს შორის მიმდინარე სატელეფონო საუბრების აუდიომონიტორინგი. აღნიშნულის თაობაზე მოსაუბრის ინფორმირება ხდებოდა მხოლოდ იმ შემთხვევაში, როდესაც ზარის ინიციატორი იყო მესამე პირი. მესამე პირებთან გამავალი სატელეფონო ზარის დროს კი, საუბრის მონიტორინგის შესახებ ინფორმირება არ ხდებოდა. ვინაიდან სატელეფონო საუბრების მონიტორინგი მოსაუბრის გაფრთხილების გარეშე მიმდინარეობდა, ფაქტი შეფასდა კანონის დარღვევად;
რამდენიმე ორგანიზაციაში დასაქმებული პირების სამსახურში შესვლისა და გასვლის კონტროლის მიზნით მოპოვებული ინფორმაცია (თარიღი, დრო, პირის საიდენტიფიკაციო დოკუმენტის მონაცემები, შენობაში შესვლისა და შენობიდან გასვლის მიზეზი) ინახებოდა სამ წელზე მეტი ვადით, რაც აღემატება ასეთი მონაცემების კანონით დაშვებულ შენახვის ვადას. აღნიშნული ფაქტიც შეფასდა კანონის დარღვევად; ასევე, გამოვლინდა ერთ-ერთი ორგანიზაციის მიერ ყოფილი დასაქმებულის მიერ ორგანიზაციაში დაკავებული პოზიციის შესახებ ინფორმაციისა და შრომითი ხელშეკრულების სამართლებრივი საფუძვლის გარეშე მესამე პირისთვის გამჟღავნების ფაქტი;
შემოწმებულ ორგანიზაციათა უმრავლესობაში მონაცემთა დასაცავად მიღებული უსაფრთხოების ზომები არ იყო სათანადო და ადეკვატური. ზოგიერთ შემთხვევაში, ორგანიზაციის თანამშრომლები დასაქმებულთა შესახებ ელექტრონულ სისტემაში დაცულ მონაცემებზე წვდომას ახორციელებდნენ საერთო მომხმარებლითა და პაროლით. ასევე, უმეტეს შემთხვევებში, ელექტრონული სისტემები არ აღრიცხავდა მონაცემთა მიმართ შესრულებულ ყველა მოქმედებას (ვინ შევიდა სისტემაში, რომელი დასაქმებულის რა მონაცემები ნახა, რა მონაცემები გადმოწერა და ა.შ.), მაშინ როცა ეს აუცილებელია მონაცემთა მიმართ შესრულებული ქმედებისა და მასზე პასუხისმგებელი პირის იდენტიფიცირებისთვის.
პანდემიის პირობებში საქმიანობის უწყვეტობისა და სამუშაო ადგილების უსაფრთხოების მიზნით, ორგანიზაციები დასაქმებულთა ჯანმრთელობის მდგომარეობის შესახებ მოიპოვებდნენ ისეთ მონაცემებს, რასაც, ჩვეულებრივ, არ ამუშავებდნენ, თუმცა ჩატარებული შემოწმებებით ამ მიმართულებითაც დადგინდა დარღვევები:
გამოვლინდა შემთხვევა, როდესაც დასაქმებულთა ტემპერატურის თერმოსკრინინგის შედეგებს ორგანიზაცია აღრიცხავდა სპეციალურ ჟურნალში, რომელსაც ხანგრძლივად, საჭიროების გარეშე ინახავდა და ელოდებოდა სახელმწიფო ორგანოებიდან მათი წაშლის მითითებას. ორგანიზაციამ ვერ დაასაბუთა რა მიზნის მისაღწევად ინახებოდა მონაცემები, რაც შეფასდა კანონის დარღვევად;
ერთ-ერთმა ორგანიზაციამ სამუშაოს ეფექტურად ორგანიზების მიზნით, სპეციალური კითხვარის მეშვეობით დასაქმებულთა ქრონიკული დაავადებების შესახებ დეტალური ინფორმაცია მოიპოვა მაშინ, როდესაც კანონიერი მიზნის მიღწევა ჯანმრთელობის მდგომარეობის შესახებ ნაკლები მოცულობის მონაცემების დამუშავებით შეეძლო. მაგალითად, ორგანიზაციას შეეძლო შეეგროვებინა არა კონკრეტული დაავადებების შესახებ ინფორმაცია, არამედ, მხოლოდ ზოგადი ინფორმაცია – მიეკუთვნებოდნენ თუ არა დასაქმებულები ჩამოთვლილი დაავადებების მატარებელ პირებს. ზედმეტი მოცულობის მონაცემების შეგროვება შეფასდა კანონის დარღვევად.
სახელმწიფო ინსპექტორის სამსახურმა ზემოაღნიშნულ ორგანიზაციებს დააკისრა ადმინისტრაციული პასუხისმგებლობა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 43-ე (მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება), 44-ე (მონაცემთა დამუშავების პრინციპების დარღვევა), 46-ე (მონაცემთა უსაფრთხოების დაცვის მოთხოვნების შეუსრულებლობა) და 49-ე (საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გამოსვლის შესახებ მონაცემთა დამუშავების წესების დარღვევა) მუხლებით გათვალისწინებული სამართალდარღვევებისთვის და მომავალში მონაცემების კანონის შესაბამისად დამუშავების მიზნით, მისცა შესასრულებლად სავალდებულო დავალებები.