ჯანმრთელობასთან დაკავშირებული მონაცემების დაცვა
გააზიარე:
უსაფრთხოება ადამიანის ნორმალური არსებობის ერთ-ერთი პირობაა. აბრაამ მასლოუს მიხედვით, მოთხოვნილებათა პირამიდაში მას მეორე ადგილი უკავია ფიზიოლოგიური საჭიროებების შემდეგ.
დღეს თითოეული ადამიანის შესახებ უამრავი ინფორმაციის მოძიება შეიძლება. მონაცემები ინახება საჯარო თუ კერძო დაწესებულებებში, სოციალურ ქსელებში, ვიდეოთვალის ჩანაწერებში. საინტერესოა, რამდენად კონფიდენციალურია ისინი, რა ხდება სამედიცინო დაწესებულებებში, საიდუმლოა თუ არა ინფორმაცია ჯანმრთელობის შესახებ, რა ევალებათ კლინიკებს, რისი უფლება აქვთ პაციენტებს...
ამ კითხვებზე პასუხის გაცემა პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატის წარმომადგენელს ნატალია მიქელაძეს ვთხოვეთ:
– პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი არის საჯარო ორგანიზაცია, რომლის მთავარი ფუნქციაა, ზედამხედველობა განახორციელოს ქვეყანაში პერსონალური მონაცემების დამუშავების კანონიერებაზე. სულ სამი წელია, რაც ეს აპარატი ამოქმედდა, მაგრამ უკვე დიდი სამუშაო გავწიეთ, რის შედეგადაც გაიზარდა მოქალაქეთა ცოდნა პერსონალური მონაცემების დაცვის საკითხების შესახებ, საჯარო თუ კერძო ორგანიზაციებში დაიწყო და გრძელდება პერსონალური მონაცემების დაცვის სტანდარტების დანერგვა, მონაცემთა დამუშავების პროცესები კანონთან შესაბამისობაში მოვიდა. 2015 წელს 16 საჯარო და 38 კერძო ორგანიზაცია შევამოწმეთ: საკომუნიკაციო, ინტერნეტ- და სატელეფონო კომპანიები, სავაჭრო ქსელები, ბანკები და მიკროსაფინანსო ორგანიზაციები, საგანმანათლებლო და სამედიცინო დაწესებულებები და გამოვავლინეთ სამართალდარღვევის 64 ფაქტი. 2016 წელს ჩვენმა აპარატმა განიხილა 71 განცხადება, გასცა 1115 კონსულტაცია, 42 ინსპექტირების შედეგად გამოავლინდა სამართალდარღვევის 52 ფაქტი, საზოგადოების ცნობიერების ასამაღლებლად გამართა 22 შეხვედრა, რომლებსაც 757 ადამიანი დაესწრო. ასე რომ, ამ კუთხით ჩვენს ქვეყანაში აქტიური მუშაობა მიმდინარეობს.
– რა მნიშვნელობა აქვს ადამიანისთვის სამედიცინო ინფორმაციის უსაფრთხოებას?
– ჯანმრთელობის მდგომარეობასთან დაკავშირებული ინფორმაცია განსაკუთრებული კატეგორიის ინფორმაციაა. ამ კატეგორიის მონაცემების მიმართ, მათივე სენსიტიურობიდან გამომდინარე, საქართველოს კანონმდებლობა სპეციალურ რეგულაციებს აწესებს. ჯანმრთელობასთან დაკავშირებული მონაცემების უკანონო გამჟღავნებამ ადამიანს შესაძლოა დიდი მორალური ზიანი მიაყენოს, ღირსება შეულახოს და საზოგადოებაში მისი სტიგმატიზაცია გამოიწვიოს, ამიტომ განსაკუთრებულ მნიშვნელობას იძენს სამედიცინო დაწესებულებების მიერ ამ ტიპის მონაცემების სწორი დამუშავება და სათანადო დაცვა.
თანამედროვე ტექნოლოგიური პროგრესის პირობებში მონაცემთა უსაფრთხოება ერთ-ერთი მნიშვნელოვანი გამოწვევაა. მონაცემთა დამმუშავებელი ორგანიზაციები ვალდებულნი არიან, მათი უსაფრთხოება უზრუნველყონ. უსაფრთხოების ზომები დამოკიდებულია მონაცემების მოცულობაზე, შინაარსზე და მათ დაკარგვასთან ან მათზე უკანონო წვდომასთან დაკავშირებულ პოტენციურ რისკებზე. მონაცემების სპეციფიკისა და სენსიტიურობის გამო სამედიცინო დაწესებულებებში (მათ შორის – ესთეტიკური მედიცინის ცენტრებში, სტომატოლოგიურ კლინიკებსა და ყველა იმ ორგანიზაციაში, რომლებიც, თავიანთი საქმიანობის პროცესში, ჯანმრთელობასთან დაკავშირებულ ინფორმაციას ამუშავებენ) უსაფრთხოების ზომებს განსაკუთრებული ყურადღება უნდა ექცეოდეს.
– რა მდგომარეობაა ამ კუთხით საქართველოში, უმეტესად რომელი წესები ირღვევა?
– პერსონალური მონაცემების დაცვის კუთხით საქართველოში პროგრესი აშკარაა. მიღებულ იქნა “პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონი, შეიქმნა პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი – პერსონალური მონაცემების დამუშავების კანონიერებაზე ზედამხედველობის განმახორციელებელი ორგანო. აპარატი ინტენსიურად მუშაობს კერძო თუ საჯარო ორგანიზაციებსა და მოქალაქეებთან მათი ცნობიერების ამაღლებისა და სწორი პრაქტიკის დამკვიდრების მიზნით. მაგრამ ისიც უნდა ვაღიაროთ, რომ კვლავაც არაერთი ხარვეზი შეინიშნება. მაგალითად, სამედიცინო დაწესებულებები ხშირად ასაჯაროებენ და პაციენტის თანხმობის გარეშე მესამე პირებს გადასცემენ ჯანმრთელობასთან დაკავშირებულ მონაცემებს; ხშირია პაციენტის მონაცემებზე იმ პირთა წვდომა, რომლებიც სამედიცინო მომსახურებაში არ მონაწილეობენ და სხვა. არასწორია მკურნალ ექიმთან ვიზიტზე ჩაწერილი პაციენტების სახელებისა და გვარების განთავსებაც სამედიცინო დაწესებულების ფოიეში ან ექიმის კაბინეტის კარზე.
ჩვენ მიერ ჩატარებულმა შემოწმებებმა ცხადყო, რომ ორგანიზაციებში მონაცემთა დამუშავებას ხშირად არ გააჩნია კონკრეტული, მკაფიო მიზანი, ინფორმაცია მუშავდება არაადეკვატური, არაპროპორციული მოცულობით, არ არის განსაზღვრული მონაცემთა შენახვის ვადა, ისევ პრობლემურია ვიდეო-აუდიო თვალთვალისა და პირდაპირი მარკეტინგის საკითხები.
სწორედ ამიტომ გაამახვილა ინსპექტორის აპარატმა ყურადღება ჯანმრთელობის დაცვის სფეროზე და მისთვის საგანგებო რეკომენდაციები შეიმუშავა.
ქვეყანაში პერსონალური მონაცემების დაცვის მდგომარეობა ასახულია ინსპექტორის ყოველწლიურ ანგარიშებში, რომლებიც ატვირთულია ინსპექტორის აპარატის ოფიციალურ ვებგვერდზე (www.personaldata.ge) და რომლებზეც ამ საკითხებით დაინტერესებულ ყველა მოქალაქეს მიუწვდება ხელი.
– ვინ და როგორ უნდა იზრუნოს პაციენტის უფლებების დაცვაზე?
– გმადლობთ ამ კითხვისთვის, ეს ძალიან მნიშვნელოვანი საკითხია. მონაცემების დაცვა მონაცემთა დამმუშავებელი კერძო თუ საჯარო ორგანიზაციების ვალდებულებაა და პასუხისმგებლობაც ამის თაობაზე მათვე ეკისრებათ.
“პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონით დადგენილი ზოგადი წესის თანახმად, ჯანმრთელობის მდგომარეობასთან დაკავშირებული მონაცემების დამუშავება აკრძალულია, თუმცა აქვე გათვალისწინებულია გამონაკლისი შემთხვევები. პაციენტის მონაცემთა დამუშავების მიზანი უნდა იყოს მკაფიო, კონკრეტული და წინასწარ განსაზღვრული. ყოველ ცალკეულ შემთხვევაში უნდა შეფასდეს, არის თუ არა დასამუშავებელი მონაცემების მოცულობა ამ მიზნის ადეკვატური და პროპორციული, განსაკუთრებით მაშინ, როდესაც ამ მონაცემებს უმჟღავნებენ მესამე პირს (თუნდაც ოჯახის წევრს). განსაკუთრებულ სიფრთხილეს მოითხოვს ისეთი მონაცემების გამჟღავნება, რომლებიც უკავშირდება სქესობრივ ცხოვრებას, რეპროდუქციულ ჯანმრთელობას.
სამედიცინო დაწესებულების ნებისმიერი თანამშრომელი, რომელიც მონაცემთა დამუშავებაში მონაწილეობს, ვალდებულია, არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს და დაიცვას მონაცემთა საიდუმლო, და არამხოლოდ ამ დაწესებულებაში მუშაობისას, არამედ სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგაც.
“ჯანმრთელობის დაცვის შესახებ” საქართველოს კანონი მოითხოვს, სამედიცინო დაწესებულების ყველა თანამშრომელმა დაიცვას სამედიცინო (საექიმო) საიდუმლო. “საექიმო საქმიანობის შესახებ” კანონი ვალდებულებას აკისრებს დამოუკიდებელი საექიმო საქმიანობის განმხორციელებელ სუბიექტს, დაიცვას პაციენტის ჯანმრთელობის მდგომარეობისა და პირადი ცხოვრების შესახებ ინფორმაციის კონფიდენციალურობა.
პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი, როგორც უკვე მოგახსენეთ, საზედამხედველო ორგანოა, რომელიც აკონტროლებს მონაცემთა დამმუშავებელი ორგანიზაციების მიერ კანონის მოთხოვნათა დაცვას.
პერსონალური მონაცემების დაცვის კუთხით მეტად მნიშვნელოვანია მოქალაქეების მიერ საკუთარი უფლებების ცოდნა და მათ დაცვაზე ზრუნვა, ხოლო უფლებათა დარღვევის შემთხვევაში – სათანადო რეაგირება.
– რა უფლებები აქვს პაციენტს ამ კუთხით?
– პაციენტს უფლება აქვს იცოდეს, რა სახის მონაცემები მუშავდება`ინახება მის შესახებ სამედიცინო დაწესებულებაში, რა გზით და რა მიზნით შეგროვდა ეს ინფორმაცია, ვისზე გაიცა მისი სამედიცინო ისტორია ან კვლევის შედეგები. პაციენტისთვის ინფორმაციის მიწოდება უნდა მოხდეს მოთხოვნისთანავე, დაუყოვნებლივ, ან მოთხოვნიდან არაუგვიანეს მე-10 დღისა.
თუ მონაცემების უზუსტოა, მოძველებული, ან უკანონოდაა შეგროვებული და დამუშავებული, პაციენტს უფლება აქვს, წერილობით, ზეპირად თუ ელექტრონული ფორმით მოითხოვოს მათი გასწორება, განახლება, შევსება, დაბლოკვა, წაშლა და განადგურება. მოთხოვნის მიღებიდან 15 დღის ვადაში მონაცემთა დამმუშავებელი ორგანიზაცია ვალდებულია გაასწოროს, განაახლოს, შეავსოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები ან, უარის შემთხვევაში, სუბიექტს აცნობოს უარის თქმის საფუძველი.
პაციენტს უფლება აქვს, ნებისმიერ დროს განმარტების გარეშე უარი განაცხადოს თავისივე გაცემულ თანხმობაზე და მოითხოვოს მონაცემთა დამუშავების შეწყვეტა თუ დამუშავებული მონაცემების განადგურება. სამედიცინო დაწესებულება ვალდებულია, მოთხოვნის შესაბამისად შეწყვიტოს მონაცემების დამუშავება და გაანადგუროს დამუშავებული მონაცემები განცხადების წარდგენიდან 5 დღის ვადაში, თუ არ არსებობს მონაცემთა დამუშავების სხვა საფუძველი (ეს წესი არ ვრცელდება პაციენტის მიერ ფულადი ვალდებულებების შესრულების შესახებ მისივე თანხმობით დამუშავებულ ინფორმაციაზე).
– რა უნდა გაითვალისწინონ სამედიცინო დაწესებულებებმა ჯანმრთელობასთან დაკავშირებული მონაცემების დამუშავებისას?
– ჯანმრთელობასთან დაკავშირებული ინფორმაციის მესამე პირისთვის გადაცემისას აუცილებელია, ყურადღება მიექცეს მონაცემთა დამუშავების პრინციპებს. განსაზღვრულ შემთხვევაში მონაცემთა გადაცემის ფაქტი შესაძლოა მიზნის ადეკვატური და პროპორციული იყოს, ხოლო სხვა შემთხვევაში – არა. მაგალითად, უგონოდ მყოფი პაციენტის ოჯახის წევრებს, რომლებიც პასუხისმგებლობას იღებენ პაციენტის შემდგომ მკურნალობასა და მოვლაზე, უფლება აქვთ იცოდნენ მისი ჯანმრთელობის მდგომარეობა, მაგრამ პრინციპები დაირღვევა, თუ ინფორმაციას პაციენტის ჯანმრთელობის მდგომარეობის შესახებ ოჯახის წევრს მაშინ მიაწვდიან, როცა პაციენტს არ სჭირდება სხვისი დახმარება მკურნალობისას ან თავის მოვლისას და შეუძლია თავად გადაწყვიტოს, რა ინფორმაციას მიაწვდის ოჯახის წევრებს.
სავალდებულოა პაციენტის თანხმობა მის ჯანმრთელობასთან დაკავშირებული მონაცემების კვლევის მიზნით გამოყენებისას, ასევე – ორგანოთა ნაწილების, ქსოვილების გამოყენებისთვის.
– ირღვევა თუ არა პაციენტის უფლება, როდესაც ინფორმაციას მისი ჯანმრთელობის შესახებ სამართალდამცველები ნახულობენ?
– პრაქტიკაში ხშირად ხდება, როდესაც სამართალდამცავი ორგანოები ამა თუ იმ პირის ჯანმრთელობასთან დაკავშირებულ ინფორმაციას გამოითხოვენ. ამ შემთხვევაში ინფორმაციის გადაცემა შეიძლება კანონით დადგენილი წესით, თუ ეს ემსახურება ოპერატიულ-სამძებრო ღონისძიების განხორციელების ან დანაშაულის გამოძიების მიზნებს და ამას პირდაპირ და საგანგებოდ არეგულირებს სისხლის სამართლის საპროცესო კოდექსი, საქართველოს კანონი “ოპერატიულ-სამძებრო საქმიანობის შესახებ” თუ სხვა კანონი.
– ბოლო ხანს პრესა და ტელევიზია ხშირად ავრცელებენ ინფორმაციას ადამიანის ჯანმრთელობის შესახებ...
– ჯანმრთელობასთან დაკავშირებული პერსონალური მონაცემების გასაჯაროება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით. ხშირია შემთხვევა, როდესაც მკურნალი ექიმი ან სამედიცინო დაწესებულების სხვა წარმომადგენელი პაციენტის ჯანმრთელობის მდგომარეობის შესახებ ინფორმაციას მედიასაშუალებებს აწვდის. მართალია, “პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონი არ ვრცელდება მედიასაშუალებების მიერ პერსონალური მონაცემების საზოგადოების ინფორმირების მიზნით დამუშავებაზე, მაგრამ ეს არ გულისხმობს, რომ სამედიცინო დაწესებულებებს შეუძლიათ, პრესასა თუ ტელევიზიას პერსონალური მონაცემები პაციენტის ინფორმირებული თანხმობის გარეშე მიაწოდონ.
– ვის უნდა მიმართოს პაციენტმა, როდესაც მისი უფლებები ილახება?
– თუ პაციენტს მიაჩნია, რომ მისი პერსონალური მონაცემები მუშავდება კანონით გათვალისწინებული საფუძვლის გარეშე ან ირღვევა მისი უფლებები პერსონალური მონაცემების დაცვის სფეროში, ამ ხარვეზის აღმოფხვრის მიზნით, უპირველეს ყოვლისა, შეუძლია მიმართოს თავად სამედიცინო დაწესებულებას. თუ სამედიცინო დაწესებულება არ დაიცავს პაციენტის უფლებებს, ამ უკანასკნელს უფლება აქვს, პერსონალურ მონაცემთა დაცვის ინსპექტორს მიმართოს. პაციენტს აქვს იმის უფლებაც, საკუთარი უფლებების დაცვის, მორალური და მატერიალური ზიანის ანაზღაურების მიზნით მიმართოს სასამართლოს.
პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატმა შექმნა სპეციალური აპლიკაცია იinspect2, რომლის მეშვეობითაც მოქალაქეებს შეუძლიათ, ინსპექტორს სწრაფად და მარტივად მიაწოდონ ინფორმაცია მონაცემთა დაცვის სფეროში აღმოჩენილი დარღვევების შესახებ. მობილური აპლიკაციის ჩამოტვირთვა შესაძლებელია როგორც IOS-ის, ასევე Android-ის პლატფორმაზე მომუშავე მოწყობილობების მომხმარებლებისთვის.
– სამედიცინო დაწესებულებებში პერსონალური მონაცემების დაცვაზე საუბრისას გვერდს ვერ ავუვლით ვიდეოთვალთვალის საკითხს. როდის არის ნებადართული სამედიცინო დაწესებულებებში ვიდეოთვალთვალის განხორციელება?
– კანონი ადგენს ვიდეოთვალთვალის განხორციელების მიზნებს, რაც იმას ნიშნავს, რომ მონაცემები დამუშავებულ უნდა იქნეს მხოლოდ კანონში მითითებული მიზნით. ამასთან, ყურადსაღებია მონაცემთა დამუშავების პროპორციულობისა და ადეკვატურობის პრინციპი. კერძოდ, სამედიცინო დაწესებულებამ ვიდეოთვალთვალი შეიძლება განახორციელოს აპარატურის ან სხვა საკუთრების დასაცავად, საიდუმლო ინფორმაციის დასაცავად, არასრულწლოვნის მავნე ზეგავლენისგან დასაცავად. ერთმნიშვნელოვნად აკრძალულია ვიდეოთვალთვალი გამოსაცვლელ ოთახებსა და ჰიგიენისთვის განკუთვნილ ადგილებში. ვიდეოთვალთვალის შემთხვევაში თვალსაჩინო ადგილას უნდა განთავსდეს გამაფრთხილებელი ნიშანი ვიდეოთვალთვალის მიმდინარეობის შესახებ.
– არსებობს თუ არა საგანგებო რეკომენდაციები განსაკუთრებული მდგომარეობებთან, მაგალითად, აივ ინფექციასთან მმართებით?
– ჯანმრთელობასთან დაკავშირებული ყოველგვარი მონაცემები განსაკუთრებული კატეგორიის მონაცემებია და მათზე დაცვის მაღალი სტანდარტი ვრცელდება, თუმცა კონკრეტულ დაავადებებთან მიმართებით საქართველოს კანონმდებლობით სპეციფიკური რეგულაციებია გათვალისწინებული. მაგალითად, “აივ ინფექცია`შიდსის შესახებ” საქართველოს კანონის თანახმად, საქართველოს მოქალაქეს, აგრეთვე საქართველოს ტერიტორიაზე მუდმივად ან დროებით მცხოვრებ ან მყოფ ნებისმიერ პირს უფლება აქვს, გაიაროს ნებაყოფლობითი კონსულტირება და ტესტირება აივ ინფექცია`შიდსზე, მათ შორის – ანონიმურად და კონფიდენციალურად. ამ შემთხვევაში აივ ინფექცია`შიდსზე ტესტირებისას სამედიცინო დაწესებულებას ეკისრება ვალდებულება, დაიცვას არა მხოლოდ პაციენტის შესახებ ინფორმაციის კონფიდენციალურობა, არამედ, პაციენტის სურვილის შემთხვევაში, უზრუნველყოს მისი ჯანმრთელობის მდგომარეობის შესახებ მონაცემების დამუშავებაც პაციენტის ანონიმურობის დაცვით და ისინი დეპერსონალიზებული სახით შეინახოს. ამ დროს აუცილებელია პაციენტის ინფორმირება იმის შესახებ, რომ მას აქვს თავისი მონაცემების ანონიმურად ან დეპერსონალიზებული ფორმით დამუშავების მოთხოვნის უფლება.
– რა სახის პასუხისმგებლობას აკისრებს კანონი პერსონალური მონაცემების დამუშავების წესების დარღვევისათვის?
– “პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის თანახმად, პერსონალური მონაცემების კანონის დარღვევიათვის განსაზღვრულია პასუხისმგებლობა გაფრთხილებისა და ჯარიმის სახით. ჯარიმის ოდენობა დამოკიდებულია სამართალდარღვევის შინაარსზე და 100-დან 10 000 ლარამდე მერყეობს. ადმინისტრაციული პასუხისმგებლობის დაკისრების უფლებამოსილება პერსონალურ მონაცემთა დაცვის ინსპექტორს აქვს.
მარი აშუღაშვილი