2024-09-12
ესტონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიგნებები სტომატოლოგიურ კლინიკებში პერსონალური მონაცემების დამუშავების შესახებ
ესტონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“DPI”) პერსონალური მონაცემების დამუშავების კანონიერების შესწავლის მიზნით განახორციელა ოთხი სტომატოლოგიური კლინიკის ინსპექტირება, რის საფუძველზეც ძირითადი მიგნებები და რეკომენდაციები გამოაქვეყნა.[1] ინფორმაციაში აღნიშნულია, რომ სამედიცინო დაწესებულებები ამუშავებენ პაციენტებთან დაკავშირებულ განსაკუთრებული კატეგორიის პერსონალურ ინფორმაციას, რაც მოითხოვს უსაფრთხოების სათანადო ზომების არსებობას.
პირველ ეტაპზე, “DPI”-მ კლინიკებს პერსონალური მონაცემების დამუშავებასთან დაკავშირებით კითხვარი შეავსებინა და შესაბამისი დოკუმენტაციის მიწოდება დაავალა. შევსებული კითხვარის ანალიზის შემდეგ, განხორციელდა ადგილზე შემოწმება, რომლის ფარგლებშიც სამედიცინო დაწესებულების თანამშრომლებს უნდა გაეკეთებინათ განმარტებები დასმულ კითხვებზე, მათ შორის, დანერგილი უსაფრთხოების ზომების შესახებ. წარმოდგენილი ინფორმაციის შეფასების საფუძველზე, გამოიკვეთა რიგი ხარვეზები და გაიცა შესაბამისი რეკომენდაციები.[2] გამოვლენილი ხარვეზები შეეხებოდა:
- დოკუმენტაციასთან დაკავშირებულ ნაკლოვანებებს (პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებული პროცედურები არ იყო სრულყოფილი);
- მონაცემთა უსაფრთხოების დარღვევასთან დაკავშირებით არასათანადო პროცედურის არსებობას;
- სამუშაოს შესრულების მიზნით პირადი მოწყობილობების გამოყენებას;
- პერსონალური მონაცემების შენახვასა და გამოყენებასთან დაკავშირებულ გარემოებებს;
- ინფორმაციულ უსაფრთხოებასთან დაკავშირებულ არასათანადო ზომებს;
- პაციენტთა პერსონალური ინფორმაციის არასათანადო დაცულობას;
- პერსონალურ მონაცემთა დაცვის თემატიკაზე დასაქმებულ პირთა ცნობიერების ნაკლებობას;
- მომხმარებლის თანხმობის გარეშე ვებგვერდზე არასაჭირო „მზა ჩანაწერების“ (“Cookies”) გამოყენებას;
- საკომუნიკაციო და ვიდეოსამეთვალყურეო სისტემების გამოყენების პროცესში ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან შეუსაბამობას.
იდენტიფიცირებულ ნაკლოვანებებზე დაყრდნობით, საზედამხედველო ორგანომ სტომატოლოგიური კლინიკების მიმართ წარადგინა რეკომენდაციები, რომელთა შესაბამისად:
- უნდა შემუშავდეს ინფორმაციული უსაფრთხოებისა და მონაცემთა დაცვის პოლიტიკის შესახებ სათანადო სტანდარტები;
- მონაცემებზე წვდომისა და ავთენტიფიკაციის თაობაზე დაინერგოს შესაბამისი მექანიზმები;
- უნდა გადამზადდნენ მონაცემთა დაცვის საკითხებზე დასაქმებული პირები;
- უზრუნველყოფილი იქნას ვებგვერდის უსაფრთხოება;
- რისკების გათვალისწინებით, ჩამოყალიბდეს მონაცემთა დამუშავებისა და შენახვის პრაქტიკა.