ვებგვერდი მუშაობს სატესტო რეჟიმში
date

2024-10-04

საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომპანიის მიერ პერსონალური მონაცემების არამართლზომიერი დამუშავების შესახებ


საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“CNIL”)  შეისწავლა ინფორმაციული ტექნოლოგიების კომპანიის[1] (“CEGEDIM SANTÉ”) მიერ პერსონალურ მონაცემთა დამუშავების კანონიერება.[2]

საქმის ფაქტობრივი გარემოებების თანახმად, კომპანია პროგრამული უზრუნველყოფის მეშვეობით, შესაბამისი ნებართვის გარეშე, ამუშავებდა პაციენტთა პერსონალურ მონაცემებს, რომლებსაც გადასცემდა მის მომხმარებლებს. საქმიანობის ფარგლებში კომპანია იწვევდა ექიმებს, რომლებსაც შესაძლებლობა ჰქონდათ, ჯანდაცვის სექტორში რიგი საკითხების სამეცნიერო კვლევისა და სტატისტიკის წარმოების მიზნით, გამოეყენებინათ „დამკვირვებლის“ სტატუსით.

საზედამხედველო ორგანომ, საქმის ფაქტობრივი გარემოებების შეფასების შედეგად დაადგინა, რომ დამუშავებული მონაცემები იყო ფსევდონიმიზებული და არა ანონიმიზებული, რაც ტექნიკურად მონაცემთა სუბიექტების ხელახალი იდენტიფიცირების საშუალებას იძლეოდა. აღსანიშნავია, რომ კომპანია, შესაბამისი პროგრამის გამოყენებით, ამუშავებდა ჯანმრთელობასთან დაკავშირებულ პერსონალურ მონაცემს, რისთვისაც საფრანგეთის კანონმდებლობის შესაბამისად, საჭირო იყო წინასწარი ნებართვის მოპოვება.[3] საზედამხედველო ორგანომ, ასევე, ხაზგასმით აღნიშნა, რომ დამუშავებული პერსონალური მონაცემების ანონიმურობის შეფასებისას, უნდა დადგინდეს გონივრული საშუალებებით მონაცემთა სუბიექტის ხელახალი იდენტიფიცირების შესაძლებლობა.

“CNIL”-მა მიიჩნია, რომ ჯანდაცვის სექტორში პერსონალური მონაცემების დამუშავება არ განხორციელდა საფრანგეთის კანონმდებლობის შესაბამისად. კომპანიამ, საფრანგეთის „პერსონალურ მონაცემთა დაცვის აქტის“ 66-ე მუხლის შესაბამისად, არ მოიპოვა საზედამხედველო ორგანოსგან ნებართვა და ასევე, ვერ დაასაბუთა მონაცემთა დამუშავების კანონიერება.

გარდა აღნიშნულისა, დამუშავებისთვის პასუხისმგებელი პირი იყენებდა ელექტრონულ პროგრამას, რომლის მეშვეობით რეგისტრირებულ პაციენტთა პირად ინფორმაციაზე წვდომა 12 თვის განმავლობაში იყო შესაძლებელი. ამასთანავე, აღსანიშნავია, რომ მონაცემებზე წვდომა მათი შესაბამის მოწყობილობაში ჩამოტვირთვის გარეშე შეუძლებელი იყო.

ყოველივე ზემოაღნიშნულის გათვალისწინებით, “CNIL”-მა დაადგინა, რომევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის მიხედვით, მონაცემები დამუშავდა უკანონოდ. ამდენად, საფრანგეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ კომპანია 800 000 ევროს ოდენობით დააჯარიმა.

 

 

 

 

 

 

[1] Software company in Boulogne-Billancourt, France.

[2] EDPB, Commercial prospecting: French SA fined CEGEDIM SANTÉ EUR 800 000,

<https://www.edpb.europa.eu/news/national-news/2024/commercial-prospecting-french-sa-fined-cegedim-sante-eur-800-000_en>, [25.09.2024].

[3] French Data Protection Act, Article 66.III.

მსგავსი #Datanewsroom