2025-03-20

ისლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება სამედიცინო მომსახურების მიმწოდებელი კომპანიის მიერ პერსონალური მონაცემების დამუშავების კანონიერების შესახებ

ისლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ სამედიცინო მომსახურების მიმწოდებელი კომპანიის მიერ პერსონალური მონაცემების დამუშავების კანონიერება შეაფასა. საქმე შეეხებოდა სამედიცინო ჩანაწერების საერთო საინფორმაციო სისტემაზე წვდომის მართლზომიერებას.[1]

ფაქტობრივი გარემოებები:

დამუშავებისთვის პასუხისმგებელი პირი (ჯანდაცვის ცენტრი[2]) მომსახურებას უწევდა რამდენიმე კომპანიას, რომელთაგან ერთ-ერთის მიმართ ისლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ სამედიცინო ჩანაწერების საერთო საინფორმაციო სისტემაში პერსონალური მონაცემების დამუშავების კანონიერების შესწავლა დაიწყო.

საქმის შესწავლის ფარგლებში გამოიკვეთა, რომ დამუშავებისთვის პასუხისმგებელ პირს ხელშეკრულება რამდენიმე ათეულ ორგანიზაციასთან ჰქონდა გაფორმებული, მათ შორის, ჯანდაცვის მომსახურების სხვა მიმწოდებლებთან, ისლანდიის საფეხბურთო გაერთიანებასთან და სატრანსპორტო ადმინისტრაციასთან. აღსანიშნავია, რომ ყველა მათგანს წვდომა ჰქონდა საერთო სამედიცინო ჩანაწერებზე, რომლებიც მოიცავდა დაახლოებით 450 000 მონაცემთა სუბიექტის პერსონალურ ინფორმაციას. ისლანდიის „სამედიცინო ჩანაწერების შესახებ“ აქტის თანახმად, ამგვარი შეთანხმებების გაფორმება საჭიროებს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოსა და სოციალური დაცვის სამინისტროს[3] მხრიდან წინასწარი ნებართვის მოპოვებას.

საქმის ფაქტობრივი გარემოებების შესწავლისას გამოიკვეთა, რომ დამუშავებისთვის პასუხისმგებელ პირს ამგვარი ნებართვა მოპოვებული ჰქონდა მხოლოდ ერთ კომპანიასთან გაფორმებულ შეთანხმებასთან მიმართებით. ნებართვის მოპოვების პროცესში, „სამედიცინო ჩანაწერების შესახებ“ ისლანდიის აქტისა და ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”-ი) მე-6(1)(e)[4] და მე-9(2)(h)[5] მუხლების შესაბამისად, საზედამხედველო ორგანომ იმსჯელა სამედიცინო ჩანაწერების საერთო საინფორმაციო სისტემის საჭიროებაზე და დაადგინა, რომ მონაცემთა დამუშავების მიზანს საზოგადოებრივი ინტერესების დაცვა და პაციენტთა უსაფრთხოების უზრუნველყოფა წარმოადგენდა. დამუშავებისთვის პასუხისმგებელი პირის მითითებით, სხვა შეთანხმებები სწორედ აღნიშნულ ხელშეკრულებას ეყრდნობოდა, შესაბამისად, დამატებითი ლიცენზირების გავლის საჭიროება აღარ არსებობდა.

საზედამხედველო ორგანოს გადაწყვეტილება:

პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მხოლოდ სამედიცინო კომპანიასთან გაფორმებულ შეთანხმებასთან მიმართებით გაცემული ნებართვა არ დააყენა ეჭვქვეშ, რამდენადაც სპეციალური ნებართვა ამ შემთხვევაში უკვე არსებობდა. თუმცა, სხვა შეთანხმებებთან მიმართებით გამოიკვეთა, რომ ეროვნული კანონმდებლობის შესაბამისად კომპეტენტური ორგანოების მხრიდან სათანადო ნებართვა არ იყო მოპოვებული.

საზედამხედველო ორგანოს შეფასებით, ხელშეკრულების მხარისთვის საერთო სამედიცინო ჩანაწერების საინფორმაციო სისტემაზე წვდომის მინიჭების შემთხვევაში, ამგვარი ნებართვა უნდა იქნეს მოპოვებული თითოეულ შეთანხმებასთან მიმართებით. აღნიშნულიდან გამომდინარე, დამუშავებისთვის პასუხისმგებელმა პირმა ვერ დაასაბუთა, რომ სამედიცინო ჩანაწერებზე წვდომა ნებადართული იყო “GDPR”-ის მე-6 მუხლის (მონაცემთა დამუშავების კანონიერება) პირველი და მე-2 პუნქტების შესაბამისად.

“GDPR”-ის 83(2)(a)-ე მუხლის[6] გათვალისწინებით, ერთი მხრივ, აღინიშნა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა ითანამშრომლა საზედამხედველო ორგანოსთან და დროულად მიიღო დარღვევის გამოსასწორებელი ზომები, კერძოდ, ხელშეკრულებების გაფორმების პროცესში გაიარა ლიცენზირების პროცედურა და, აგრეთვე, არაუფლებამოსილ პირებს პერსონალურ მონაცემებზე წვდომა შეუჩერა. თუმცა, მეორე მხრივ, საზედამხედველო ორგანომ, ძირითადი რეგულაციის 83(2)(a)-ე მუხლის შესაბამისად, დაადგინა, რომ დარღვევა თავისი შინაარსის გათვალისწინებით იყო მძიმე, რამდენადაც სამედიცინო ჩანაწერების საერთო საინფორმაციო სისტემაში პერსონალური მონაცემები მრავალი წლის განმავლობაში მუშავდებოდა.

აგრეთვე, საზედამხედველო ორგანოს განმარტებით, დამუშავებისთვის პასუხისმგებელმა პირმა დარღვევა ჩაიდინა განზრახ, რამდენადაც კანონი მკაფიოდ ადგენდა ნებართვის მოპოვების აუცილებლობას და აღნიშნულის თაობაზე არსებობდა წინასწარი ინფორმაცია. შესაბამისად, აღნიშნულმა ფაქტმა, ძირითადი რეგულაციის 83(2)(b)-ე მუხლის[7] მიხედვით, გავლენა იქონია დარღვევის სიმძიმეზე. ამასთანავე, აღნიშნულ პროცესში მუშავდებოდა ჯანმრთელობასთან დაკავშირებული პერსონალური ინფორმაცია, რომელიც “GDPR”-ის 83(2)(g)-ე მუხლის[8] შესაბამისად, წარმოადგენს განსაკუთრებული კატეგორიის პერსონალურ მონაცემს.

ზემოაღნიშნული გარემოებების გათვალისწინებით, ისლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს დააკისრა ჯარიმა 34 360 ევროს ოდენობით.

[1] GDPR hub, Decision of DPA (Iceland), <https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2025010124>, [7.03.2025].

[2] “Capital Area Health Care Centre“.

[3] The Ministry of Welfare.

[4] ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6(1)(e) მუხლის შესაბამისად, მონაცემთა დამუშავება კანონიერია მხოლოდ იმ შემთხვევაში და იმ მოცულობით, თუ, მათ შორის: „მონაცემთა დამუშავება აუცილებელია საჯარო ინტერესის სფეროში შემავალი ამოცანების შესასრულებლად ან მონაცემთა დამუშავებისთვის პასუხისმგებელი პირისთვის მინიჭებული ოფიციალური უფლებამოსილების განსახორციელებლად“.

[5] ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-9(2)(h) მუხლის თანახმად, განსაკუთრებული კატეგორიის მონაცემების დამუშავება დასაშვებია, მათ შორის, „პრევენციული მედიცინის ან შრომითი უსაფრთხოების მიზნებიდან გამომდინარე, დასაქმებულის სამუშაო შესაძლებლობების შესაფასებლად, სამედიცინო დიაგნოზის დასასმელად, ჯანდაცვის ან სოციალური დაცვის უზრუნველსაყოფად, ჯანდაცვისა და სოციალური უზრუნველყოფის სფეროსა და შესაბამისი მომსახურების სამართავად ევროკავშირის ან წევრი სახელმწიფოს კანონის ან სამედიცინო სფეროს სპეციალისტთან გაფორმებული კონტრაქტის საფუძველზე...“.

[6] თითოეულ ინდივიდუალურ შემთხვევაში ადმინისტრაციული ჯარიმის დაკისრების ან მისი ოდენობის განსაზღვრისას, მათ შორის, გათვალისწინებული უნდა იყოს შემდეგი გარემოებები: „დარღვევის სახე, სიმძიმე და ხანგძლივობა, დამუშავების მიზნის და მოცულობის გათვალისწინებით, ისევე როგორც დაზარალებული მონაცემთა სუბიექტების რაოდენობა და მათ მიერ განცდილი ზიანი“.

[7] ადმინისტრაციული ჯარიმის დაკისრების ან მისი ოდენობის განსაზღვრისას გასათვალისწინებელი ერთ-ერთი გარემოება: „დარღვევის განზრახ ან გაუფრთხილებლობით ჩადენის ფაქტორი“.

[8] ადმინისტრაციული ჯარიმის დაკისრების ან მისი ოდენობის განსაზღვრისას გასათვალისწინებელი ერთ-ერთი გარემოება: „მონაცემთა კატეგორიები, რომლებსაც შეეხება დარღვევა“.