სახელმწიფო ინსპექტორის სამსახურის განცხადება კორონავირუსთან ბრძოლის პროცესში პერსონალური მონაცემების დაცვასთან დაკავშირებით

2020-03-20 13:49:37

სახელმწიფო ინსპექტორის სამსახურის განცხადება

COVID-19-ის (კორონავირუსი) გავრცელების მასშტაბის ზრდასთან ერთად, საზოგადოებაში ჩნდება კითხვები ვირუსთან ბრძოლის პროცესში პერსონალური მონაცემების დაცვასთან დაკავშირებით.

აქტუალური გახდა ისეთი საკითხები, როგორიცაა ვირუსით ინფიცირებულ, შესაძლო ინფიცირებულ ან/და მათთან კონტაქტში მყოფ პირთა შესახებ პერსონალური მონაცემების დამუშავება; საჯარო უწყებებისა და კერძო ორგანიზაციების მიერ დისტანციურ მუშაობის პროცესში მონაცემთა უსაფრთხოების დაცვა; შეხვედრებისას (მათ შორის ონლაინ სასწავლო პროცესში) მონაცემთა დაცვა.

მსოფლიოში COVID-19-ით (კორონავირუსი) შექმნილ ვითარებაში პერსონალურ მონაცემთა დამუშავების საკითხებზე, რეკომენდაციები გაიცა სხვადასხვა ქვეყნის მონაცემთა დაცვის საზედამხედველო უწყებების მხრიდანაც.

მაღალი საჯარო ინტერესიდან, ასევე, საჯარო უწყებებისა და კერძო ორგანიზაციების მხრიდან ზემოაღნიშნულ საკითხებზე კონსულტაციისთვის მზარდი მომართვებიდან გამომდინარე, სახელმწიფო ინსპექტორის სამსახური, როგორც პერსონალური მონაცემების დაცვის ზედამხედველობაზე პასუხისმგებელი ორგანო, გთავაზობთ რამდენიმე განმარტებას და რეკომენდაციას პანდემიის დროს პერსონალური მონაცემების დაცვასთან დაკავშირებით.

რეკომენდაციები და განმარტებები მიზნად ისახავს პერსონალური მონაცემების და კონფიდენციალური ინფორმაციის  მართვის პროცესში ორგანიზაციების დახმარებას.

მონაცემთა დაცვის კანონმდებლობა პანდემიის ან სხვა რაიმე საგანგებო სიტუაციის დროს არ აბრკოლებს აუცილებელი ინფორმაციის გაზიარების პროცესს, თუმცა არანაკლებ მნიშვნელოვანია, როგორც ჯანმრთელობის დაცვაზე პასუხისმგებელმა უწყებებმა, ასევე, საჯარო და კერძო დამსაქმებლებმა იცოდნენ თუ როგორ და რა დოზით შეიძლება პერსონალური, მათ შორის, ჯანმრთელობის მდგომარეობის შესახებ ინფორმაციის გაზიარება.

ჯანდაცვის დაწესებულებების მიერ მონაცემთა

დამუშავება

საზოგადოებრივი ჯანდაცვის დაწესებულებები, მოქმედი კანონმდებლობის საფუძველზე, აგროვებენ და ამუშავებენ სხვადასხვა პერსონალურ მონაცემებს, რაც აუცილებელია ჯანმრთელობის დაცვის სისტემის მართვისა და ფუნქციონირებისთვის.

ვირუსის გავრცელების წინააღმდეგ ბრძოლის პროცესში, ჯანდაცვის დაწესებულებებს  უწევთ ინფიცირებულ ან/და შესაძლო ინფიცირებულ პირთა შესახებ მეტი მოცულობით მონაცემების შეგროვება, ვიდრე სტანდარტულ შემთხვევებში (მაგალითად, აგროვებენ ინფორმაციას მოქალაქეთა საზღვარგარეთ მოგზაურობის, სამუშაო ადგილის, ახლო კონტაქტში მყოფი პირების შესახებ), რაც არსებული საჭიროებიდან გამომდინარეობს და არ ეწინააღმდეგება კანონმდებლობას.

პანდემიის შესახებ საზოგადოების ინფორმირებისა და სამედიცინო კონსულტაციების გაწევის მიზნით, დასაშვებია საინფორმაციო შეტყობინებების გაგზავნა სატელეკომუნიკაციო და თანამედროვე ტექნოლოგიების საშუალებით.

გასათვალისწინებელია, რომ ასეთი სიტუაციების დროს, იზრდება შეცდომაში შემყვანი და ე. წ. ,,თაღლითური შეტყობინებების“ მიღების რისკი. შესაბამისად, მნიშვნელოვანია, მოქალაქეები დაეყრდნონ მხოლოდ ოფიციალური ორგანოებიდან მიღებულ ინფორმაციას.

ვირუსით ინფიცირებულ, შესაძლო ინფიცირებულ ან/და მათთან კონტაქტში მყოფ პირთა ვინაობის (სახელის, გვარის) საჯაროდ გავრცელება, როგორც წესი, აუცილებელი არ არის და საზოგადოებრივი ინტერესის დასაკმაყოფილებლად საკმარისია მათ შესახებ არაიდენტიფიცირებადი ფორმით ინფორმაციის გავრცელება (მოქალაქეობა, ეთნიკური კუთვნილება, ასაკი, სამუშაო ადგილი, მათი გადაადგილების მარშრუტი და ა.შ.). აღნიშნულ პირთა ვინაობის შესახებ მონაცემების გასაჯაროება და მესამე პირთათვის გამჟღავნება დასაშვებია იმ მოცულობითა და იმ ფარგლებში, რაც აუცილებელია დაავადების პრევენციის, კონტროლისა და მართვისათვის.

 

დამსაქმებელი ორგანიზაციების მიერ დასაქმებულთა მონაცემების დამუშავება

დასაქმებულთათვის უსაფრთხო გარემოს უზრუნველყოფის პარალელურად, დამსაქმებლები ცდილობენ შეინარჩუნონ საქმიანობის უწყვეტობა.

კანონმდებლობის თანახმად, დამსაქმებლებს დასაქმებულთა დაინფიცირების შესახებ ინფორმაციის შეგროვება შეუძლიათ დასაქმებულთა ნების მიუხედავად, თუ ეს ემსახურება უსაფრთხო შრომითი გარემოს უზრუნველყოფას ან/და ემსახურება ჯანმრთელობის დაცვის სისტემის მართვას.

დასაშვებია დამსაქმებელმა შეაგროვოს შემდეგი ინფორმაცია: დასაქმებული სტუმრობდა თუ არა ვირუსის გავრცელების მაღალ რისკის შემცველ ქვეყანას, აქვს თუ არა დასაქმებულს ვირუსის სიმპტომები, ჰქონდა თუ არა კონტაქტი ვირუსით დაინფიცირებულ პირ(ებ)თან.

დასაქმებულის დაინფიცირების შესახებ ეჭვის შემთხვევაში დამსაქმებელმა უნდა მიმართოს შესაბამის ჯანდაცვის უწყებას და დაექვემდებაროს მის მითითებებს.

დამსაქმებლის მიერ, დასაქმებულის დაინფიცირების შესახებ, ინფორმაციის სხვა დასაქმებულებისათვის გამჟღავნება დასაშვებია, თუ ეს აუცილებელია დასაქმებულთან კონტაქტში მყოფი პირების გამოსავლენად ან/და ვირუსის შემდგომი გავრცელების პრევენციისთვის.

მოპოვებული მონაცემები დამსაქმებელმა უნდა შეინახოს იმ ვადით, რაც აუცილებელია მის კომპეტენციას მიკუთვნებული ღონისძიებების განხორციელებისთვის. შემდგომ ეს მონაცემები უნდა წაიშალოს, განადგურდეს ან შენახულ იქნას პირის იდენტიფიცირების გამომრიცხავი ფორმით.

 

დისტანციური სწავლება და შეხვედრები

დისტანციურ სწავლებაზე გადავიდნენ საგანმანათლებლო დაწესებულებებიც (სკოლები, უნივერსიტეტები), ასევე, ხშირია დისტანციურად შეხვედრების გამართვის პრეცედენტები.

სოციალურ ქსელებში ვრცელდება ონლაინ სასწავლო პროცესის, ონლაინ შეხვედრების ამსახველი (მათ შორის, იუმორისტული) ფოტო-ვიდეო მასალა.

ონლაინ შეხვედრების, ონლაინ-სწავლების ამსახველი მასალა (ფოტო, ვიდეო გამოსახულება) წარმოადგენს პირის პერსონალურ მონაცემებს, რაც უნდა იქნეს გათვალისწინებული მათი გასაჯაროებისას.

არასრულწლოვნის მონაცემების ინტერნეტში ყველასთვის ხელმისაწვდომი ფორმით გასაჯაროებამ შესაძლოა არასასურველი ზეგავლენა მოახდინოს არასრულწლოვანზე (გახდეს ბულინგის ან სხვა სახის არასასურველი მოპყრობის ობიექტი).

შესაბამისად, საგანმანათლებლო დაწესებულებები, ამ დაწესებულებებში დასაქმებული პირები, ასევე, არასრულწლოვანი პირების მშობლები და ოჯახის წევრები, მეტი პასუხისმგებლობით უნდა მოეკიდონ ბავშვების მონაცემების გასაჯაროებას და იმოქმედონ არასრულწლოვნის საუკეთესო ინტერესების გათვალისწინებით.

დისტანციური შეხვედრების გამართვისათვის, შეგიძლიათ გამოიყენოთ თანამედროვე კოლაბორაციული კომუნიკაციის სისტემები (მაგალითად, Webex, Zoom, Teams და ა.შ.).

 

დისტანციურად მუშაობისას მონაცემთა დამუშავება

ორგანიზაციათა უმეტესობამ უკვე მიმართა დისტანციურად მუშაობის რეჟიმს. თანამედროვე ტექნოლოგიებმა დისტანციურად მუშაობა მარტივი გახადა, თუმცა ასეთ დროს დღის წესრიგში დგება სამსახურებრივი ინფორმაციის კონფიდენციალობის დაცვისა და უსაფრთხოების საკითხი.

დისტანციურად  მუშაობისას გასათვალისწინებელი გარემოებები:

  • სახლიდან დისტანციურად მუშაობისას სასურველია გამოყენებულ იქნეს სამსახურის კომპიუტერი;
  • თუ საჭიროა სახლის კომპიუტერიდან სამსახურის კომპიუტერში დისტანციური წვდომის საშუალებებით შესვლა, ამისათვის აუცილებლად უნდა იქნეს გამოყენებული თანამედროვე და განახლებული პროგრამები;
  • საკუთარ კომპიუტერში რეგულარულად უნდა განახლდეს ოპერაციული სისტემები (MS Windows, MacOS);
  • აუცილებელია კომპიუტერში შესვლის პაროლის დაყენება;
  • იმ ელექტრონულ სისტემებში შესვლისთვის, რომელზეც წვდომა ინდივიდუალური მომხმარებლის სახელით არის შესაძლებელი, უმჯობესია გამოყენებულ იქნეს რთული და კომპლექსური პაროლი (რომელიც შეიცავს არანაკლებ 10 სიმბოლოს, დიდ და პატარა ლათინურ ასოებს, ციფრებს და სპეციალურ სიმბოლოებს. მაგ.: #,$, &, @ და ა.შ.). ასევე, სადაც ეს შესაძლებელია, გამოყენებულ უნდა იქნეს ორ ფაქტორიანი ავთენტიფიკაციის მექანიზმები (მომხმარებლის სახელთან ერთად, პაროლი და დამატებითი ერთჯერად კოდი);
  • ერთიდაიგივე პაროლი არ უნდა იქნეს გამოყენებული სხვადსხვა სისტემებში შესვლისათვის;
  • სამსახურის შიდა ელექტრონულ რესურსებთან წვდომისათვის გამოყენებული უნდა იქნეს მხოლოდ დაშიფრული VPN კავშირის საშუალებები;
  • გამოყენებული უნდა იქნეს ანტივირუსული პროგრამები, თუნდაც უფასო ვერსიები;
  • სასურველია მონაცემების სარეზერვო ასლების გაკეთება ან მნიშვნელოვანი დოკუმენტების და მონაცემების სამსახურის სერვერზე შენახვა;
  • უნდა დაიშიფროს კონფიდენციალური მონაცემები, თუნდაც უფასო შიფრაციის პროგრამების გამოყენებით (მაგალითად, VeraCrypt, BitLocker და ა.შ.);
  • არ უნდა იქნეს გამოყენებული უცხო USB მონაცემთა მატარებლები;
  • დაცული უნდა იქნას კომპიუტერის ფიზიკური უსაფრთხოება (დასაქმებულმა იგი არ უნდა დატოვოს უყურადღებოდ სხვადასხვა ადგილზე).

ასევე, დასაქმებულმა უნდა უზრუნველყოს სახლის უკაბელო ქსელური მოწყობილობის უსაფრთხოება. კერძოდ:

  • სახლის უკაბელო ქსელური მოწყობილობის მართვისათვის გამოყოფილი მომხმარებლის პაროლი არ უნდა იყოს სხვისთვის ცნობილი;
  • შესაძლებლობის შემთხვევაში, უმჯობესია ინტერნეტიდან შეიზღუდოს უკაბელო ქსელური მოწყობილობის სამართავ პანელზე წვდომა;
  • უკაბელო ქსელური კავშირისათვის გამოყენებული შიფრაციის მეთოდები სასურველია იყოს თანამდეროვე (მაგალითად, WPA2 ან WPA3);
  • სახლის უკაბელო ქსელურ მოწყობილობასთან დაკავშირების პაროლი უნდა იყოს კომპლექსური და არანაკლებ 16 სიმბოლოსგან შემდგარი;
  • პერიოდულად უნდა შეიცვალოს უკაბელო ქსელის მოწყობილობასთან დაკავშირების პაროლი.

დამატებით უნდა აღინიშნოს, რომ პანდემიით გამოწვეული ვითარებით სარგებლობენ ჰაკერები.

მსოფლიოში ბევრი ცრუ ე.წ. „ფიშინგ“ საიტია შექმნილი, სადაც განთავსებულია ვირუსის გავრცელების სტატისტიკური მონაცემები და რომლებზეც შესვლის შემდგომ შესაძლებელია კომპიუტერებიდან მონაცემების მოპარვა. შესაბამისად, რეკომენდებულია ვირუსის გავრცელების სტატისტიკური მონაცემების  მხოლოდ ოფიციალურ ან საინფორმაციო სააგენტოებისა და მედია ორგანიზაციების საიტებზე დათვალიერება.

ასევე, ძალიან მომატებულია ელ-ფოსტით გაგზავნილი ცრუ ე.წ. „ფიშინგ“ წერილების რაოდენობა. ამა თუ იმ ცნობილი ორგანიზაციის ან ადამიანის სახელით ცრუ შეტყობინებები იგზავნება კონფიდენციალური ან პერსონალური ინფორმაციის მოპარვის მიზნით.

საფრთხის შემცველია უცნობი ორგანიზაციების და პირების მიერ გამოგზავნილ წერილებში მიმაგრებული ფაილები. შესაბამისად, მიბმული ფაილები არ უნდა გაიხსნას, სანამ მომხმარებელი არ დარწმუნდება გამომგზავნი ორგანიზაციის ან/და პირის კეთილსინდისიერებასა და რეალურობაში.