პერსონალური მონაცემების დაცვის სამსახურმა დაადგინა, რომ თანამშრომლებმა არაფერი იცოდნენ კონტროლის შესახებ. 2022 წლის ოქტომბერში ამ სამსახურს ანონიმმა შეატყობინა, რომ გარემოს დაცვისა და სოფლის მეურნეობის სამინისტრო თანამშრომლების ციფრულ კვალს აკონტროლებდა და სისტემაში ჩართული კომპიუტერები მუდმივი მონიტორინგის ქვეშ იყო.
შეტყობინებიდან 6 თვის შემდეგ პერსონალური მონაცემების დაცვის სამსახურმა გამოაქვეყნა დასკვნა, სადაც დაუსახელებლად ამბობდა, რომ ერთ-ერთი სამინისტრო კანონის დარღვევით აგროვებდა თანამშრომელთა მონაცემებს. რადიო თავისუფლებისთვის ცნობილი გახდა, რომ ეს უწყება სოფლის მეურნეობის სამინისტრო იყო.
ასე გაიგეს თავად სამინისტროს თანამშრომლებმა, რომ მათი სამსახური თვეების განმავლობაში ხედავდა, რომელ საიტებზე შედიოდნენ სამსახურის კომპიუტერიდან, რას კითხულობდნენ, რას ეძებდნენ, რომელ ფაილებზე მუშაობდნენ და რომელ პროგრამას რა სიხშირით იყენებდნენ. სამინისტრო ამ მონაცემებს თვეების განმავლობაში ინახავდა ისე, რომ მასზე წვდომა ნებისმიერ დროს შეეძლო ჰქონოდა 20-ზე მეტ ადამიანს.
“თანამშრომლების კონტროლის მიზნით სხვადასხვა მეთოდის გამოყენება ხშირად ხდება. ძალიან ხშირად გვქონია, მაგალითად, ვიდეო-აუდიო კონტროლი დასაქმებულის საქმიანობის მონიტორინგის მიზნით და, სხვათა შორის, საკმაოდ ხშირი იყო შემთხვევები, როცა დარღვევას ვადგენდით და ვამბობდით, რომ ამ დოზით კონტროლი არ იყო პროპორციული და ზედმეტი დოზით ხდებოდა შეჭრა პირად ცხოვრებაში”, - ეუბნება რადიო თავისუფლებას ყოფილი სახელმწიფო ინსპექტორი, ლონდა თოლორაია.
ვიდეო-აუდიო კონტროლისა და ავტომატიზებულად მონაცემების შეგროვების პრაქტიკა არსებობს როგორც კერძო, ასევე საჯარო სექტორში. მაღალი რისკის ზონებია ამ მხრივ სამედიცინო დაწესებულებები და სერვისის გამცემი ორგანიზაციები.
ლონდა თოლორაია ვერ იხსენებს გარემოს დაცვის სამინისტროს მსგავს შემთხვევას, როცა სახელმწიფო უწყების თითქმის ყველა თანამშრომლის ყველა ციფრული ქმედება დაკვირვების საგანი გამხდარიყო წინასწარ გაუფრთხილებლად და არც იმის შესახებ ფლობს ინფორმაციას, რა პროგრამით შეიძლება შეეგროვებინა საჯარო მოხელეების მონაცემები სამინისტროს.
“მე თუ არ ვიცი, რომ ჩემს სამსახურებრივ კომპიუტერს აკონტროლებენ, ეს ადამიანის პირად ცხოვრებაში ძალიან უხეში ჩარევაა და უსაფრთხოების თვალსაზრისითაც სერიოზულ დარღვევას წარმოადგენს. ადამიანს არ ვიცნობ, ვისაც სამსახურებრივი კომპიუტერი რაიმე დროს პირადი მიზნებისთვის რომ არ გამოუყენებია, ან წამალს და დიაგნოზს დაგუგლავ, ან შეიძლება ისეთი რამ მოძებნო, რითაც შენი სექსუალური ორიენტაცია გახდეს ცნობილი სხვებისთვის ან პოლიტიკური შეხედულება. როცა მე ვიმყოფები სამსახურში, ეს არ ნიშნავს, რომ მე სრულად ვარ მოწყვეტილი ჩემს პირად ცხოვრებას და აღარ მაქვს პირადი ცხოვრება”, - ამბობს ლონდა თოლორაია. ის თავის ყოფილ სამსახურს აკრიტიკებს იმის გამო, რომ მათ მიერ გავრცელებულ განცხადებაში დასახელებული არ ყოფილა, რომელ სამინისტროში ამუშავებდნენ თანამშრომლების მონაცემებს კანონის დარღვევით.
როგორ იკვლევდა სიტუაციას პერსონალურ მონაცემთა დაცვის სამსახური?
გარემოს დაცვისა და სოფლის მეურნეობის სამინისტროში პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლები შეტყობინების მიღებიდან ერთი თვის შემდეგ, 14 ნოემბერს მივიდნენ. მათ რამდენიმე თანამშრომლის კომპიუტერში შეამოწმეს გააქტიურებული პროგრამები.
მოგვიანებით, 29 დეკემბერს, სამინისტროდან წერილობით გამოითხოვეს ინფორმაცია სამინისტროს დაქვემდებარებაში მყოფი ყველა იმ უწყების შესახებ, რომელშიც ჩართული იყო პროგრამა, რომელიც თანამშრომელთა შესახებ მონაცემებს აგროვებდა. ასევე, იმ თანამშრომელთა ვინაობა და თანამდებობა, რომელთაც ჰქონდათ მოპოვებულ მონაცემებზე წვდომა.
დამატებით, სამინისტროს რამდენიმე თანამშრომელს, მათ შორის, ადამიანური რესურსების მართვის სამმართველოდანაც, ჰკითხეს, რა ინფორმაციას ფლობდნენ უწყებაში დამუშავებულ მონაცემებთან დაკავშირებით. გამოკითხულებიდან ორმა არ იცოდა, რომ მათი კომპიუტერებიდან მონაცემები გროვდებოდა, ერთმა კი თქვა, რომ სისტემატურად ეცნობოდა ამ ინფორმაციას.
რამდენად მასშტაბური აღმოჩნდა სამინისტროში დასაქმებულების კონტროლი?
პერსონალურ მონაცემთა დაცვის სამსახურმა დაადგინა, რომ კონტროლდებოდა არა მხოლოდ სამინისტროს თანამშრომელთა კომპიუტერები, არამედ სამინისტროს დაქვემდებარებული ყველა უწყების ჯამში 2853 კომპიუტერი. კონტროლი არ შეეხო სამინისტროს მხოლოდ 22 თანამშრომელს, შეგროვილ მასალაზე წვდომა ჰქონდა 26-ს.
გარემოს დაცვის სამინისტროს გარდა, მონაცემები გროვდებოდა ამ უწყების დაქვემდებარებულ შემდეგ დაწესებულებებში:
- დაცული ტერიტორიების სააგენტო;
- სურსათის ეროვნული სააგენტო;
- ღვინის ეროვნული სააგენტო;
- გარემოსდაცვითი ინფორმაციისა და განათლების ცენტრი;
- სოფლის მეურნეობის სახელმწიფო ლაბორატორია;
- ეროვნული სატყეო სააგენტო;
- ველური ბუნების ეროვნული სააგენტო;
- ბირთვული და რადიაციული უსაფრთხოების სააგენტო;
- გარემოს ეროვნული სააგენტო;
- სოფლის მეურნეობის სამეცნიერო-კვლევითი ცენტრი;
- მიწის მდგრადი მართვისა და მიწათსარგებლობის მონიტორინგის ეროვნული სააგენტო;
- სოფლის მეურნეობის ლოჯისტიკისა და სერვისების კომპანია;
- საქართველოს მელიორაცია;
- სოფლის განვითარების სააგენტო.
როგორ გროვდებოდა მონაცემები?
რადიო თავისუფლების მიერ პერსონალური დაცვის სამსახურიდან გამოთხოვილ ინფორმაციაში დაშიფრულია იმ პროგრამის დასახელება, რომლითაც სამინისტრო თანამშრომლების აქტივობას სწავლობდა მათ კომპიუტერებში, თუმცა ნათქვამია, რომ მონაცემების შესაგროვებლად გამოიყენებოდა პროგრამა, რომელიც ყოველდღიურ საქმიანობაში სჭირდებოდათ დასაქმებულებს და მას იყენებდნენ ყოველთვის, როცა:
- IT დეპარტამენტს ტექნიკური დახმარების თხოვნას უგზავნიდნენ;
- აფიქსირებდნენ და უფლებას აძლევდნენ ეზოში სტუმრის მანქანით შემოსვლას;
- ნებართვას იღებდნენ სამსახურიდან ნაადრევად გასვლისთვის ან ერთი დღით დასვენებისთვის, შეტყობინებას აგზავნიდნენ ხელმძღვანელთან დაგვიანების შემთხვევაში.
- ეცნობოდნენ გაგზავნილ მოთხოვნებზე პასუხებს.
“თუ მოწყობილობები სამინისტროს ეკუთვნის და, შესაბამისად, ამ მოწყობილობებზე სრული წვდომა აქვს, მონაცემების შეგროვების მეთოდები უსაზღვროა”, - ეუბნება რადიო თავისუფლებას პროგრამული უზრუნველყოფის ინჟინერი გიორგი ლუბარეცი.
პერსონალური მონაცემების დაცვის სამსახური კი წერს, რომ “მონაცემთა ბაზების სერვერზე, სადაც ტექნიკური მხარდაჭერის პროგრამის საშუალებით მოპოვებული ინფორმაცია ინახება, არსებობს სპეციალური ცხრილი, რომელიც სამსახურებრივი კომპიუტერებიდან ინფორმაციის შეგროვების ერთგვარ სამართავ მატრიცას წარმოადგენს”.
ეს პროგრამა ჯერ თანამშრომლების კომპიუტერებში აგროვებს მონაცემებს, შემდეგ გზავნის სერვერზე მონაცემთა ბაზებში შესანახად და ბაზაში განთავსების შემდეგ შლის იმ ადამიანის პერსონალური კომპიუტერის ოპერატიული მეხსიერებიდან, სადაც შეიქმნა. მონაცემთა ბაზებში მოხვედრილი ინფორმაცია სტატისტიკურად მუშავდება და ცალკეული ადამიანების კომპიუტერში ქცევის ძირითად ტენდენციებზე სრულ სურათს ქმნის. ეს ინფორმაცია თვეების განმავლობაში ინახება სისტემაში.
“როდესაც მოწყობილობა უერთდება ქსელს, ამ ქსელის მფლობელს აქვს შესაძლებლობა, რომ შეაგროვოს სრული ინფორმაცია გადაცემული ინტერნეტპაკეტების შესახებ”, - გვიხსნის გიორგი ლუბარეცი, რომელიც თვლის, რომ პერსონალურ მონაცემთა სამსახურის განცხადება ინტერპრეტირების ფართო შესაძლებლობას იძლევა კონტროლის მეთოდების შესახებ.
“შეგვიძლია ვივარაუდოთ, რომ "ვებსაიტების მონაცემების და შინაარსის შეგროვება" ქსელის დონეზე არსებულ MITM (Man-in-the-middle) ტიპის შეტევას გულისხმობს. თუ ეს ასეა და თუ ამის შესახებ სამინისტროს თანამშრომლები ინფორმირებულები არ ყოფილან, სამინისტროს დიდი ოდენობით სენსიტიური პერსონალური მონაცემების შეგროვება შეეძლო”, - ამბობს ის.
პერსონალური მონაცემების დაცვის ინსპექტორი მიუთითებს, რომ დათვლილია სოციალურ ქსელებში გატარებული დრო და სხვადასხვა პროგრამის მოხმარების ინტენსივობა, ასევე სამინისტროს მიერ მოგროვებული მონაცემები შეიცავს ცნობებს ვებსაიტების, აქტიური ბმულების, საძიებო სიტყვების, კონკრეტული დოკუმენტების სათაურების შესახებ. “საკვანძო სიტყვები გაერთიანებული იყო ჯგუფებში, მაგალითად, საკვანძო სიტყვებს “XXX”, “Sex,”, Adult”, “porn” მინიჭებული აქვს საერთო სახელი “PORN”,” - წერს პერსონალური მონაცემების დაცვის სამსახური.
გარემოს დაცვისა და სოფლის მეურნეობის სამინისტრო წელიწადში 165 000 ლარს იხდის IT ინფრასტრუქტურის აპარატურული და პროგრამული უზრუნველყოფისა და ამ მიმართულებით საჭირო საკონსულტაციო და ტექნიკური მხარდაჭერისთვის, 177 826 ლარს - ანტივირუსის ლიცენზიისთვის, კიბერუსაფრთხოებაში 17 თანამშრომლის მომზადება კი 33 000 ლარზე მეტი უჯდება.
ვისთვის იყო მონაცემები ხელმისაწვდომი?
პერსონალურ მონაცემთა დაცვის სამსახურმა რადიო თავისუფლებისთვის მიწოდებულ ინფორმაციაში დაფარა ყველა იმ ადამიანის თანამდებობა, ვისაც გარემოს დაცვისა და სოფლის მეურნეობის სამინისტროში ათასობით ადამიანის მონაცემებზე ჰქონდა წვდომა. მიღებული ინფორმაციიდან შეგვიძლია მხოლოდ იმის თქმა, რომ „შეგროვებული დეტალური ინფორმაცია ხელმისაწვდომი იყო ჯამში 26 პირისთვის“. ესენი არიან:
- სამინისტროს - 9 თანამშრომელი;
- საქართველოს მელიორაციის - 2 თანამშრომელი;
- სურსათის ეროვნული სააგენტოს - 1 თანამშრომელი;
- ღვინის ეროვნული სააგენტოს - 1 თანამშრომელი;
- სოფლის განვითარების სააგენტოს - 4 თანამშრომელი;
- სოფლის მეურნეობის სამეცნიერო-კვლევითი ცენტრის - 1 თანამშრომელი;
- დაცული ტერიტორიების სააგენტოს - 3 თანამშრომელი;
- გარემოს ეროვნული სააგენტოს - 3 თანამშრომელი.
როგორ ხსნის სამინისტრო ამ მონაცემების დამუშავების აუცილებლობას?
იმის მიუხედავად, რომ 26 გამონაკლისის გარდა, თანამშრომლებმა არ იცოდნენ, რომ სამინისტრო მათ აკონტროლებდა, თავად უწყება მაინც ასე ხსნის ამ გადაწყვეტილების მიზანს: „ინფორმაციის შეგროვების მიზანია თანამშრომელთა საკუთარი დროის მონიტორინგის საშუალების მიცემა, ასევე უსაფრთხოების ნორმატიული კონტროლი“. სამინისტრო ასევე განმარტავს, რომ სისტემაში დაბლოკილია სხვადასხვა კატეგორიის ვებგვერდებსა და სერვერებზე წვდომა, მათ შორის, პორნოგრაფიული შინაარსის, სათამაშო და სხვა გასართობი კატეგორიის ვებსაიტების გამოყენება.
პერსონალურ მონაცემთა დაცვის სამსახურს სამინისტრომ აცნობა, რომ შეგროვებულ მონაცემებზე დაყრდნობით არათუ არავინ არ დაუსჯით სამუშაო დროის გაფლანგვისთვის, შენიშვნაც კი არ მიუციათ სამსახურებრივი უფლებამოსილების ცუდად შესრულებისთვის.
აქვე მოყვანილია ერთ-ერთი თანამშრომლის განმარტება, რომ მას დაქვემდებარებული პირების კონტროლი სჭირდებოდა იმისთვის, რომ გადაემოწმებინა, უყურებდნენ თუ არა ისინი კონკრეტულ ვებგვერდზე იმ ვიდეოგაკვეთილებს, რომლების ნახვასაც ავალებდა. ასევე, მივლინების დროს თანამშრომლების კონტროლისთვის, რომ გაეგო, ამ დროს თანამშრომლები თვითგანათლებით იყვნენ დაკავებულები თუ სოციალური ქსელების მოხმარებით.
რატომ დააჯარიმა სამინისტრო პერსონალურ მონაცემთა დაცვის სამსახურმა?
პერსონალურ მონაცემთა დაცვის სამსახურმა თქვა, რომ დამსაქმებელი ვალდებულია თანამშრომლების მოქმედებების კონტროლის უფლება გამოიყენოს მხოლოდ დასაბუთებული აუცილებლობის შემთხვევაში და ამის შესახებ ინფორმირებული უნდა იყოს ის, ვისი მონაცემებიც მუშავდება. პერსონალურ მონაცემთა დაცვის სამსახურმა მსჯელობაში მოიშველია სტრასბურგის სასამართლოს გადაწყვეტილება, რომლის მიხედვითაც უნდა დადგინდეს:
- ეცნობა თუ არა დასაქმებულს მისი კომპიუტერიდან მონაცემების შეგროვების შესახებ;
- რა მოცულობით ჩაერივნენ დასაქმებულის პირად ცხოვრებაში;
- შესაძლებელი იყო თუ არა ნაკლები მზღუდავი მეთოდების გამოყენება;
- რა მიზნით გამოიყენეს მოპოვებული ინფორმაცია.
“გამოვლენილი პერსონალური მონაცემები რიგ შემთხვევაში ინტიმური ხასიათის ინფორმაციაზე წვდომის შესაძლებლობას შეიძლება მოიცავდეს“, - წერს პერსონალურ მონაცემთა დაცვის სამსახური და მიიჩნევს, რომ სმარტფონების ხანაში შეუძლებელია, სამინისტროს კომპიუტერებში თანამშრომლების მონიტორინგით შეემოწმებინა, რამდენად ჯეროვნად იყენებენ ისინი სამსახურის დროს.
გარემოს დაცვის სამინისტრო ვალდებულია, შეწყვიტოს თანამშრომლების მონიტორინგის მიზნით პროგრამული კონტროლი და მათზე მონაცემების შეგროვება და, ასევე, უნდა წაშალოს უკვე შეგროვებული ინფორმაცია.
უნდა შემოწმდეს თუ არა სხვა სამინისტროებიც?
ლონდა თოლორაია, ყოფილი სახელმწიფო ინსპექტორი, თვლის, რომ გარემოს დაცვის სამინისტროში გამოვლენილი მონაცემების შესწავლის პრაქტიკა თავისუფლად იძლევა იმის საშუალებას, რომ გონივრული ეჭვის საფუძველზე შემოწმდეს სხვა სამინისტროები. ის ასევე ვარაუდობს, რომ გარემოს დაცვის სამინისტროში გამოვლენილი დარღვევა შესაძლოა სიგნალი იყოს სხვა უწყებებისთვის, რომლებიც სავარაუდოდ ასევე იყენებენ მსგავს პრაქტიკებს და შეიძლება, მათ დაიწყონ თანამშრომლების გაფრთხილება კონტროლისთვის გამოყენებული მექანიზმების შესახებ.
პერსონალური მონაცემების დაცვის სამსახურს არ უთქვამს, რომ უახლოეს მომავალში გეგმავს შეამოწმოს სხვა სახელმწიფო უწყებებიც მსგავსი დარღვევების გამოსარიცხად. მოთხოვნის გაკეთება როგორც სახელმწიფო სტრუქტურების, ისე კერძო ორგანიზაციების შესასწავლად ნებისმიერ პირს შეუძლია პერსონალური მონაცემების დაცვის სამსახურში. შეტყობინების დატოვებისთვის არ არის აუცილებელი, გაამხილოთ თქვენი ვინაობა.
