+995 32 242 1000
office@pdps.ge
. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2024-09-28
სსიპ „გ. აბრამიშვილის სახელობის საქართველოს თავდაცვის სამინისტროს სამხედრო ჰოსპიტალისა“ და ამავე ჰოსპიტალის თანამშრომლის მიერ ელექტრონული სისტემა „მედსერვისის“ მეშვეობით მონაცემების დამუშავება
როგორც წესი, მონაცემთა დამუშავების პროცესები თანამშრომლების მეშვეობით წარიმართება, ხოლო მონაცემების უსაფრთხოებისთვის დასაქმებულების მიერ უფლებამოსილების არამართლზომიერად გამოყენება მნიშვნელოვანი რისკია. თავის მხრივ, მონაცემთა ბაზების მიმართ ორგანიზაციული და ტექნიკური ზომების სწორად შერჩევის მნიშვნელობა იზრდება, როცა საკითხი ჯანმრთელობასთან დაკავშირებულ ინფორმაციას ეხება, ვინაიდან მსგავსი ინფორმაციის კონფიდენციალურობა განსაკუთრებით მნიშვნელოვანია.
შეტყობინების საფუძველზე სამსახურმა ერთ-ერთი პაციენტის გარდაცვალების შემდეგ მისი პერსონალური მონაცემების შემცველი სამედიცინო დოკუმენტაციის სამხედრო ჰოსპიტალიდან სავარაუდო გამჟღავნების კანონიერება შეისწავლა. შემოწმების ფარგლებში დადგინდა, რომ პაციენტი სამხედრო ჰოსპიტალში სტაციონარულ მკურნალობას გადიოდა, რა დროსაც სხვადასხვა სამედიცინო მანიპულაცია ჩაუტარდა. მისი გარდაცვალების შემდეგ, პაციენტის მიერ უძრავი ქონების გასხვისებასთან დაკავშირებული გარემოებების გამორკვევის მიზნით, შეტყობინების ავტორმა, როგორც გარდაცვლილი პირის მემკვიდრის წარმომადგენელმა, საქართველოს შინაგან საქმეთა სამინისტროს მიმართა და განმარტა, რომ შესაძლებელია ქონების გასხვისება პაციენტის ნებას არ შეესაბამებოდა; ხოლო ქონების გასხვისების შეთანხმების მონაწილედ სამხედრო ჰოსპიტალში დასაქმებული მედდა დაასახელა. საქმის მასალით დასტურდებოდა, რომ აღნიშნული მედდა სამინისტროს სამხედრო ჰოსპიტალის მიერ გარდაცვლილთან დაკავშირებით წარმოებულ სამედიცინო დოკუმენტაციას ფლობდა.
სამხედრო ჰოსპიტალი სამედიცინო საქმიანობის ფარგლებში ელექტრონულ სისტემას იყენებს, რომელშიც, მაგალითად, პაციენტებისათვის გაწეული სამედიცინო მომსახურების ამსახველი დოკუმენტები მუშავდება და ინახება. დასაქმებულთა ფუნქცია-მოვალეობებიდან გამომდინარე, ელექტრონულ სისტემაში განსაზღვრული იყო სხვადასხვა ჯგუფი (მაგალითად, ექიმები, ეპიდემიოლოგები და სხვა), რომლებსაც მონაცემებზე წვდომის განსხვავებული ფარგლები ჰქონდათ მინიჭებული. ამასთან, ცალკეული კატეგორიის დასაქმებულებს (მაგალითად, მედდებს) ელექტრონულ სისტემაში შექმნილი არ ჰქონდათ მომხმარებლები, თუმცა ისინი ექიმებს სამედიცინო დოკუმენტაციის შედგენაში ეხმარებოდნენ და ამ მიზნით უშუალოდ ექიმებისგან ფლობდნენ მათ მომხმარებლებსა და პაროლებს.
ინსპექტირების ფარგლებში მოპოვებული მტკიცებულებებიდან დადგინდა, რომ მედდა პაციენტის გარდაცვალების შემდეგ შევიდა ელექტრონულ სისტემაში სხვადასხვა ექიმის მომხმარებლისა და პაროლის გამოყენებით და პირადი საჭიროებისთვის მოიძია გარდაცვლილი პირის სისხლის საერთო ანალიზების პასუხები, გლუკოზის ანალიზისა და მუცლის ღრუს კომპიუტერული ტომოგრაფიის შედეგის ამსახველი სამედიცინო დოკუმენტაცია და სხვა. კანონის 27-ე მუხლის მე-5 პუნქტის დარღვევის ფაქტზე (დამუშავებისთვის პასუხისმგებელი პირის ნებისმიერი თანამშრომელი, რომელიც მონაცემთა დამუშავების პროცესი მონაწილეობს, ვალდებულია მისთვის მინიჭებული უფლებამოსილების ფარგლებს არ გასცდეს) მედდა ცნობილი იქნა სამართალდამრღვევად კანონის 76-ე მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული სამართალდარღვევისთვის.
ამავე შემოწმების ფარგლებში დადგინდა, რომ სამსახურებრივი საქმიანობის დროს მედდების მიერ ექიმების მომხმარებლებისა და პაროლების გამოყენება პრაქტიკას წარმოადგენდა, რაზეც ინფორმაციას სამხედრო ჰოსპიტალიც ფლობდა, თუმცა არსებული მდგომარეობის შეცვლის მიზნით რაიმე სახის ეფექტიანი ნაბიჯი არ გადაუდგამს. გარდა ამისა, გარდაცვლილი პირის პერსონალური მონაცემების დამუშავების ყველა რელევანტური ფაქტის იდენტიფიცირების მიზნით სამსახურმა „მედსერვისი“ დაათვალიერა, რის შედეგადაც გამოვლინდა, რომ სისტემაში და მის მონაცემთა ბაზაში არ აღირიცხებოდა პაციენტების მოძიების, ასევე – კონკრეტული დოკუმენტის დათვალიერების, გადმოწერისა და ამობეჭდვის ფაქტები. აღსანიშნავია, რომ კონკრეტული დასაქმებულისათვის მომხმარებლისა და პაროლის გაწერა მოიაზრებს მის კონფიდენციალურობას, რაც სამომავლო რისკების პრევენციას ემსახურება; ერთი მომხმარებლის რამდენიმე პირის მიერ გამოყენება კი ართულებს ან შეუძლებელს ხდის იმ პირის იდენტიფიცირება, რომელმაც ელექტრონულ სისტემაში გარკვეული მოქმედება განახორციელა. ამასთან, კანონის თანახმად, დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებულნი არიან, უზრუნველყონ ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების აღრიცხვა, რაც მათ შორის მიზნად ისახავს ელექტრონულ სისტემაში განხორციელებული ქმედების შინაარსის, დროისა და განმახორციელებელი პირის ვინაობის სწორად იდენტიფიცირებას.
ამასთან, ვინაიდან ელექტრონულ სისტემაში ჯანმრთელობასთან დაკავშირებული მონაცემები მუშავდებოდა, სამსახურმა ყურადღება კანონის მე-6 მუხლზეც გაამახვილა და განმარტა, რომ, კანონის თანახმად, მონაცემთა დამუშავების კონკრეტული საფუძვლის გარდა, თავად მონაცემთა დამუშავების ფაქტობრივი პროცესი კანონთან შესაბამისი უნდა ყოფილიყო, რაც მედდების მიერ ექიმების მომხმარებლების გამოყენების პრაქტიკის გათვალისწინებით უზრუნველყოფილი არ იყო.
ზემოაღნიშნული გარემოებები მიუთითებდა სამხედრო ჰოსპიტალის მიერ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლის (მონაცემთა უსაფრთხოება) დარღვევაზე, რის გამოც დაწესებულება სამართალდამრღვევად იქნა ცნობილი კანონის 76-ე მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული სამართალდარღვევისთვის.
მსგავსი გადაწყვეტილებები
საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღების პერსონალური მონაცემების გამჟღავნების კანონიერება
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე ერთერთი საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღე...
ვიდეომონიტორინგი სკოლებში და კოლეჯებში
სამსახურმა გეგმურად შეამოწმა 2 (ორი) სახელმწიფო პროფესიული საგანმანათლებლო დაწესებულება/კოლეჯის (შემდგომში ― კოლეჯი), ასევე 3 (სამი) საჯარო და 3 (სამი...
ვიდეო-აუდიომონიტორინგი
ვიდეოკამერების სისტემები სხვადასხვა სახის, დიდი მოცულობით პერსონალური მონაცემების დამუშავების (მოპოვების, ჩაწერის, შენახვის) შესაძლებლობას იძლევა. ამა...