2024-08-15

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება შეზღუდული შესაძლებლობების მქონე პირის ჯანმრთელობასთან დაკავშირებული პერსონალური მონაცემის უკანონო დამუშავების შესახებ

---

იტალიის მოქალაქემ განცხადებით მიმართა სახელმწიფო ჯანდაცვის ორგანოს შეზღუდული შესაძლებლობების მქონე პირის სტატუსის მინიჭების მოთხოვნით და შესაბამის საფუძვლად, ჯანმრთელობასთან დაკავშირებული მონაცემის მითითებით. მოქალაქის მოთხოვნა დაკმაყოფილდა და მას მიენიჭა შეზღუდული შესაძლებლობის მქონე პირის სტატუსი.

აღსანიშნავია, რომ იტალიის კანონმდებლობა ითვალისწინებს ახლო ნათესავის მოვლის მიზნით სამსახურიდან დროებით გათავისუფლებას. მონაცემთა სუბიექტის ახლო ნათესავმა საკუთარ დამსაქმებელს სთხოვა მონაცემთა სუბიექტის მოვლისთვის სამსახურიდან დროებით გათავისუფლება. დამსაქმებელმა ინფორმაციის გადასამოწმებლად სახელმწიფო ჯანდაცვის ორგანოსგან მოითხოვა განცხადებაში მითითებული მონაცემთა სუბიექტის, როგორც შეზღუდული შესაძლებლობის მქონე პირის სტატუსის გადამოწმება.

სახელმწიფო ჯანდაცვის ორგანომ დამსაქმებელს მიაწოდა ინფორმაცია მონაცემთა სუბიექტის სტატუსის და მის ჯანმრთელობასთან დაკავშირებული პერსონალური მონაცემის შესახებ, რაც საფუძვლად დაედო აღნიშნული სტატუსის მინიჭებას.

მონაცემთა სუბიექტმა მიმართა იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს და მოითხოვა მის ჯანმრთელობასთან დაკავშირებული პერსონალური მონაცემის დამუშავების კანონიერების შესწავლა.[1]

დამუშავებისთვის პასუხისმგებელი პირის (სახელმწიფო ჯანდაცვის ორგანოს) განმარტებით, დამსაქმებლისთვის მონაცემთა სუბიექტის მონაცემების გადაცემა გამოწვეული იყო ადამიანური შეცდომით, რადგან უწყებაში მონაცემთა დამუშავებაზე პასუხისმგებელ თანამშრომელთა რაოდენობა აღნიშნულ პერიოდში მკვეთრად შემცირებული იყო და შესაბამისად, ვერ მოხერხდა უწყებაში შემოსული მოთხოვნის სათანადო შესწავლა და ინფორმაციის გაცემის მონიტორინგი.

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მხედველობაში მიიღო აღნიშნული ფაქტი და განმარტა, რომ მხოლოდ ეს გარემოება არ იყო საკმარისი ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნათა დარღვევის საპასუხოდ. საზედამხედველო ორგანომ ყურადღება გაამახვილა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-9 მუხლის პირველ პუნქტზე, რომლის თანახმად, აკრძალულია ისეთი მონაცემების დამუშავება, რომლებიც ამჟღავნებს პირის ჯანმრთელობასთან დაკავშირებულ მონაცემებს. აღნიშნული წესისგან გამონაკლისს წარმოადგენს შემთხვევა, როდესაც მონაცემთა დამუშავება აუცილებელია სამედიცინო დიაგნოზის დასასმელად, ჯანდაცვის ან სოციალური დაცვის უზრუნველსაყოფად, ჯანდაცვისა და სოციალური უზრუნველყოფის სფეროსა და შესაბამისი მომსახურების სამართავად.

საზედამხედველო ორგანოს განმარტებით, სახელმწიფო ჯანდაცვის ორგანოს ჰქონდა მონაცემთა დამუშავების თავდაპირველი საფუძველი (მიზანი) - დაედგინა მონაცემთა სუბიექტის, როგორც შეზღუდული შესაძლებლობების მქონე პირის სტატუსი, მაგრამ დამუშავებისთვის პასუხისმგებელ პირს, დამსაქმებლისთვის ინფორმაციის გაცემისას ერთმანეთისგან უნდა გაემიჯნა შშმ პირის სტატუსის შესახებ ინფორმაცია და ჯანმრთელობასთან დაკავშირებული მონაცემი, რაც მას არ განუხორციელებია.

საზედამხედველო ორგანომ აღნიშნა, რომ დამსაქმებლის მოთხოვნა, რომ გაეგო იყო თუ არა მონაცემთა სუბიექტი ნამდვილად შეზღუდული შესაძლებლობის მქონე, არ გულისხმობდა მისთვის დამატებით, ამ პირის ჯანმრთელობასთან დაკავშირებული მონაცემების მიწოდებას. ამ მოქმედებით დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტის მოთხოვნა მონაცემთა მინიმიზაციის შესახებ. საგულისხმოა, რომ დამუშავებისთვის პასუხისმგებელი პირს არ ჰქონდა  გათვალისწინებული შესაბამისი ორგანიზაციული და ტექნიკური მექანიზმები, რაც მნიშვნელოვანი იქნებოდა მონაცემთა დამუშავებისა და ინფორმაციის გაცემის პროცესში მონაცემთა სუბიექტის უფლებების დასაცავად. შესაბამისი მექანიზმების არარსებობამ განაპირობა ადამიანური შეცდომა, რომელიც საზედამხედველო ორგანოს აზრით არა გამამართლებელი, არამედ შემაშფოთებელი გარემოებაა ჯანმრთელობასთან დაკავშირებული მონაცემების დამუშავებისას.

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 32-ე მუხლის პირველი პუნქტის საფუძველზე, უახლესი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მოცულობის, კონტექსტისა და მიზნების, ასევე მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისათვის სავარაუდო რისკების გათვალისწინებით, მონაცემთა დამუშავებისთვის პასუხისმგებელმა და დამუშავებაზე უფლებამოსილმა პირებმა უნდა მიიღონ სავარაუდო რისკების შესაბამისი ტექნიკური და ორგანიზაციული ზომები უსაფრთხოების უზრუნველსაყოფად. საზედამხედველო ორგანოს აზრით დამუშავებისთვის პასუხისმგებელი პირის მოქმედებები არ შეესაბამებოდა აღნიშნულ მოთხოვნას.

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტის და 32-ე მუხლის პირველი პუნქტის დარღვევისთვის დააკისრა ჯარიმა 24 000 ევროს ოდენობით.