ავტორი: თეა ჭეიშვილი
საქართველოს ადვოკატთა ასოციაციის წევრი, ადვოკატი. საქართველოს მედიატორთა ასოციაციის აღმასრულებელი საბჭოს წევრი, მედიატორი
„პაციენტის უფლებების დაცვა არის არა მხოლოდ იურიდიული ვალდებულება,
არამედ პროფესიული პასუხისმგებლობის უმაღლესი სტანდარტი“
(მსოფლიო სამედიცინო ასოციაცია (WMA) ჟენევის დეკლარაცია).
ნებისმიერ სამართლებრივ სახელმწიფოში, ინდივიდის უფლებები უზენაეს ღირებულებით კატეგორიას უნდა წარმოადგენდეს, შესაბამისად, თანამედროვე საზოგადოებაში ადამიანის უფლებების დაცვას უდიდესი მნიშვნელობა ენიჭება. სამართლებრივი სახელმწიფოს ერთ-ერთი მთავარი დანიშნულება უნდა იყოს შესაბამისი ქმედითი მექანიზმების შემუშავება ადამიანის უფლებების დაცვის უზრუნველსაყოფად.
ინფორმაციული ტექნოლოგიების განვითარების ეპოქაში, ინდივიდის პირადი ცხოვრების დაცვის საკითხი უფრო და უფრო აქტუალური ხდება. არსებული რეალობა და პირადი ცხოვრების, მათ შორის, პერსონალური მონაცემების დაცვის წინაშე არსებული პრობლემები მეტად მრავალფეროვანი და კომპლექსურია, რაც მისი დაცვის აუცილებლობას მეტ მნიშვნელობას სძენს. თავის მხრივ, მრავალფეროვნება გამომდინარეობს ინტერნეტისა და მასთან დაკავშირებული ტექნოლოგიების, მაგალითად, ე.წ. ღრუბლოვანი სისტემის (Cloud Computing) ფუნქციონირებიდან, რაც საზღვრებს ურღვევს პერსონალურ მონაცემთა დამუშავების ტერიტორიულ ფარგლებს. აქვე, ისიც გასათვალისწინებელია, რომ თანამედროვე ტექნოლოგიების გამოყენებისას, ადამიანი, საზოგადოებაში საკუთარი თავის ინტეგრირებას სწორედ პერსონალურ მონაცემთა გაცემის გზით ახდენს. რაც უფრო მეტად ინტეგრირებულია ინდივიდი საზოგადოებაში, მით უფრო მწვავედ დგება დღისწესრიგში მისი პირადი ცხოვრების დაცვის მექანიზმების შემუშავების საჭიროება. ამრიგად, გადაუჭარბებლად შეიძლება ითქვას, რომ მსოფლიოში და მათ შორის საქართველოშიც ფიზიკურ პირთა პერსონალური მონაცემების დაცვა ერთ-ერთ მთავარ გამოწვევად იქცა.
მე-20 საუკუნის მეორე ნახევრის შემდეგ, ტექნოლოგიური პროგრესის განვითარების პარალელურად, გაიზარდა პერსონალურ მონაცემთა გამოყენების შემთხვევები, რამაც თავის მხრივ, გამოიწვია პერსონალური მონაცემების დაცვის ხარისხის გაზრდის აუცილებლობა. გერმანიამ, საფრანგეთმა და შვედეთმა პირველებმა მიიღეს საკანონმდებლო აქტები ევროპის ფარგლებში, რომელიც ეხებოდა ინდივიდების შესახებ არსებულ ინფორმაციას. აღნიშნული მიიჩნევა პირველი თაობის მარეგულირებელ მექანიზმებად. ამ ქვეყნებმა ამგვარი რეგულაციების შემუშავება 1970-იან წლებში დაიწყო, რაც 1981 წელს ევროპის საბჭოს 108-კონვენციის მიღებით დასრულდა (Fuster/ფუსტერი, 2014, გვ. 56).
უშუალოდ პერსონალურ მონაცემთა დაცვაზე აქცენტირებული პირველი სამართლებრივი ინსტრუმენტი, 1970 წელს გერმანიის ფედერალურ ერთეულში - ჰესეში მიიღეს. რომლის მიზანს წარმოადგენდა საჯარო დაწესებულებებში ციფრული მასალის დაცვა საჯარო მოხელეების მიერ გამჟღავნებისგან, უნებართვოდ გამოყენებისგან, შეცვლისგან ან წაშლისგან. გერმანიაში ფედერალურ დონეზე, 1977 წელს მიიღეს პირველი მსგავსი შინაარსის შემცველი კანონი, ხოლო შვედეთში - 4 წლით ადრე, 1973 წელს, საფრანგეთში კი - 1978 წელს (Rule & Greenleaf/რული და გრინლიფი, 2010, გვ. 83).
პერსონალურ მონაცემთა დაცვის სფეროში მნიშვნელოვან მოვლენად ითვლება ევროპის საბჭოს მიერ, 1981 წლის 28 იანვარს პერსონალურ მონაცემთა დაცვის თაობაზე საერთაშორისო აქტის მიღება. ევროპის საბჭოს კონვენცია პერსონალური მონაცემების ავტომატური დამუშავებისას ფიზიკური პირების დაცვის შესახებ წარმოადგენს პირველ საერთაშორისო სამართლებრივ დოკუმენტს, სადაც გაწერილია უზოგადესი პრინციპები, რომელიც შემდგომ სახელმძღვანელო დოკუმენტი გახდა სხვა უფრო დეტალური რეგულაციებისთვის. ზ/აღნიშნულ კონვენციას ხშირად მოიხსენიებენ, როგორც 108-ე კონვენციას, რომელიც შეიცავს წესებს პერსონალურ მონაცემთა დამუშავებისთვის საჯარო და კერძო ორგანიზაციების ფარგლებში, მასში განმტკიცებულია მონაცემთა დაცვის მთავარი პრინციპები, კერძოდ, სამართლიანობა, კანონიერება, მიზნობრიობა, პროპორციულობა და შესაბამისი ვადების დაცვა დამუშავებისას. იგი ერთადერთი საერთაშორისო სამართლებრივი ინსტრუმენტია პერსონალურ მონაცემთა დაცვის სფეროში, რომელიც ღიაა რატიფიცირებისთვის არაევროპული სახელმწიფოებისთვისაც. კონვენცია რატიფიცირებულია საქართველოს პარლამენტის მიერ 2005 წლის 28 ოქტომბერს. (ძირითად უფლებათა ევროპული კავშირის სააგენტო, ევროპის საბჭო, ადამიანის უფლებათა ევროპული სასამართლოს სამდივნო, 2015, გვ. 21).
პერსონალურ მონაცემთა დაცვის შემდგომ განვითარებას ადგილი ჰქონდა ევროპული კავშირის ფარგლებში, როდესაც 1995 წლის 24 ოქტომბერს მიღებულ იქნა 95/46/EC დირექტივა პერსონალურ მონაცემთა დამუშავებისა და ამ მონაცემთა თავისუფალი გადადინებისას ფიზიკურ პირთა დაცვის შესახებ (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data). იგი, ასევე, იწოდება როგორც მონაცემთა დაცვის დირექტივა. თავისი შინაარსით, დირექტივა ამყარებს და განავრცობს 108-ე კონვენციით დადგენილ პრინციპებს.
ჩვენს ქვეყანაში პერსონალურ მონაცემთა დაცვის შესახებ კანონი 2011 წლის 28 დეკემბერს მიიღეს. საქართველოს კანონი პერსონალურ მონაცემთა დაცვის შესახებ წარმოადგენს ზემოხსენებული ევროდირექტივის საფუძველზე შემუშავებულ დოკუმენტს. კანონში ისეთი საკითხები, როგორიცაა: პერსონალურ მონაცემთა დაცვის სფეროში არსებული ტერმინოლოგია, დამუშავების პრინციპები და საფუძვლები, მათ შორის, სენსიტიური და არასენსიტიური პერსონალური მონაცემები მოწესრიგებულია დირექტივაში მოცემული შინაარსის მიხედვით.
საქართველომ 2014 წლის 27 ივნისს ევროპულ კავშირთან ხელი მოაწერა ასოცირების შეთანხმებას (ასოცირების შესახებ შეთანხმება ერთის მხრივ, ევროკავშირს და ევროპის ატომური ენერგიის გაერთიანებას და მათ წევრ სახელმწიფოებსა და მეორეს მხრივ, საქართველოს შორის) რომლის მე-14 მუხლის თანახმად, საქართველომ იკისრა ვალდებულება, დაამკვიდროს მონაცემთა დაცვის ევროპულ კავშირში მოქმედი სტანდარტები. შესაბამისად, დღეის მდგომარეობით საქართველოში მოქმედებს 2023 წლის 14 ივნისს ახალი რედაქციით მიღებული პერსონალურ მონაცემთა დაცვის შესახებ კანონი, რომელიც ევროპული ანალოგის მსგავსია. მარეგულირებელი ქართული კანონმდებლობა ითვალისწინებს ამ სფეროში დღეს არსებულ მიდგომებს და პერსონალური მონაცემების დაცვის მძლავრ სამართლებრივ ბაზისს ქმნის.
პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის თანამხად, ამ კანონის მიზანს წარმოადგენს პერსონალური მონაცემების დამუშავებისას ადამიანის ძირითადი უფლებებისა და თავისუფლებების, მათ შორის, პირადი და ოჯახური ცხოვრების, პირადი სივრცისა და კომუნიკაციის ხელშეუხებლობის დაცვა. შესაბამისად, ისმის კითხვა: რა არის პერსონალური მონაცემები და ვინ არის ამ მონაცემების მატარებელი?
საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ იძლევა პერსონალური მონაცემის დეფინიციას, კერძოდ პერსონალური მონაცემია ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის სახელით, გვარით, საიდენტიფიკაციო ნომრით, გეოლოკაციის მონაცემებით, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით.
ამრიგად, საქართველოს საკანონმდელო რეგულაციის თანახმად, მონაცემთა დაცვის უპირველესი ბენეფიციარები, მონაცემთა სუბიექტები ფიზიკური პირები არიან და პერსონალური მონაცემის ცნება, მჭიდროდ უკავშირდება ფიზიკური პირის იდენტიფიცირების საკითხს. მონაცემთა დაცვის ევროპული კანონმდებლობის მიხედვით, მონაცემთა სუბიექტის იდენტიფიცირება მაღალი სიზუსტით აუცილებელი არაა. კანონის ნორმათა ამოქმედებისთვის საკმარისია პიროვნება იყოს იდენტიფიცირებადი, ხოლო ინდივიდი იდენტიფიცირებაუნარიანია თუ, გავრცელებული ინფორმაცია შეიცავს პირის ვინაობის დამდგენ ელემენტებს (ძირითად უფლებათა ევროპული კავშირის სააგენტო, ევროპის საბჭო, ადამიანის უფლებათა ევროპული სასამართლოს სამდივნო, 2015, გვ. 52). ამრიგად, პერსონალურ მონაცემში იგულისხმება ფიზიკური პირის შესახებ არსებული ნებისმიერი ინფორმაცია, რომელიც მისი იდენტიფიცირების საშუალებას იძლევა. კანონის აღნიშნული განმარტებით, შეიძლება ითქვას, რომ პერსონალური მონაცემი ეხება ადამიანის პირადი ცხოვრების ინფორმაციულ ასპექტს.
იმის გათვალისწინებით, რომ ამ ეტაპზე, პერსონალურ მონაცემთა დაცვის უფლება დამოუკიდებელ, ცალკე მდგომ ძირითად უფლებად არ გაითვალისწინება, ევროპულ სამართლებრივ სისტემაში მონაცემთა დაცვის ინტერესები პირადი ცხოვრების მეტად ფართო უფლების ნაწილად მოიხსენიება. (პურტოვა, 2010, გვ. 3). ადამიანის უფლებათა ევროპული სასამართლოს მიერ ჩამოყალიბებული პრაქტიკით, პირადი ცხოვრების ის საკითხები, რომელიც პერსონალურ მონაცემთა მართლზომიერ დამუშავებას ეხება განხილულია მე-8 მუხლის ჭრილში. კერძოდ, ადამიანის უფლებათა ევროპული სასამართლო პერსონალურ მონაცემთა დაცვასთან დაკავშირებით მიღებულ გადაწყვეტილებებს აფუძნებს ადამიანის უფლებათა ევროპული კონვენციის მე-8 მუხლზე, რომელიც შემდეგი ფორმით არის ჩამოყალიბებული: ყველას აქვს უფლება, პატივი სცენ მის პირად და ოჯახურ ცხოვრებას, მის საცხოვრებელსა და მიმოწერას. დაუშვებელია ამ უფლების განხორციელებაში საჯარო ხელისუფლების ჩარევა, გარდა ისეთი შემთხვევებისა, როდესაც ასეთი ჩარევა ხორციელდება კანონის შესაბამისად და აუცილებელია დემოკრატიულ საზოგადოებაში ეროვნული უშიშროების, საზოგადოებრივი უსაფრთხოების ან ქვეყნის ეკონომიკური კეთილდღეობის ინტერესებისთვის, უწესრიგობის ან დანაშაულის თავიდან ასაცილებლად, ჯანმრთელობის ან მორალისა თუ სხვათა უფლებათა და თავისუფლებათა დასაცავად.
საქართველოს კონსტიტუციის მე-20 მუხლი აღიარებს პირადი ცხოვრების უფლებას და იქვე გამოყოფს შეზღუდვის საფუძვლებსაც, კერძოდ: ყოველი ადამიანის პირადი ცხოვრება, პირადი საქმიანობის ადგილი, პირადი ჩანაწერი, მიმოწერა, საუბარი სატელეფონო და სხვა სახის ტექნიკური საშუალებებით, აგრეთვე ტექნიკური საშუალებებით მიღებული შეტყობინებანი ხელშეუხებელია. აღნიშნული უფლებების შეზღუდვა დაიშვება სასამართლოს გადაწყვეტილებით ან მის გარეშეც, კანონით გათვალისწინებული გადაუდებელი აუცილებლობისას. არავის არ აქვს უფლება შევიდეს საცხოვრებელ ბინაში და სხვა მფლობელობაში პირთა ნების საწინააღმდეგოდ, აგრეთვე ჩაატაროს ჩხრეკა, თუ არ არის სასამართლოს გადაწყვეტილება ან კანონით გათვალისწინებული გადაუდებელი აუცილებლობა.“
როგორც ვხედავთ, არც კონვენციის მე-8 მუხლი და არც საქართველოს კონსტიტუციის მე-20 მუხლი არ შეიცავს სიტყვებს - „პერსონალური მონაცემი,“ თუმცა საქართველოს საერთო და საკონსტიტუციო სასამართლოების მიერ, ევროპული სამართლებრივი სისტემის მსგავსად, გამოტანილი გადაწყვეტილებების მიხედვით, პირადი ცხოვრების უფლების დაცვის პარალელურად, პერსონალურ მონაცემთა დაცვის უფლება სწორედ მე-20 მუხლით დაცულ უფლებათა ფარგლებში განიხილება.
ამრიგად, ხაზგასმით შეიძლება ითქვას, რომ „პერსონალურ მონაცემთა დაცვის უფლება წარმოშობილია პირადი ცხოვრების დაცვის უფლებიდან. პირადი ცხოვრების კონცეფცია უკავშირდება ადამიანებს. შესაბამისად, მონაცემთა დაცვის უპირველესი ბენეფიციარები ფიზიკური პირები არიან.“ (ძირითად უფლებათა ევროპული კავშირის სააგენტო, ევროპის საბჭო, ადამიანის უფლებათა ევროპული სასამართლოს სამდივნო, 2015, გვ. 48).
საქართველოს მოქმედი კანონმდებლობა განსაზღვრავს ფიზიკურ პირთა პერსონალურ მონაცემებს, როგორიცაა: სახელი, გვარი, საიდენტიფიკაციო ნომრი, გეოლოკაციის მონაცემები, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემები, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლი და ფიზიკური პირის განსაკუთრებული კატეგრიის პერსონალურ მონაცემებს: ფიზიკური პირის რასობრივი ან ეთნიკური კუთვნილება, პოლიტიკური შეხედულებები, რელიგიური ან სხვა მრწამსი, პროფესიული კავშირის წევრობა, ჯანმრთელობა, სქესობრივი ცხოვრება, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსის სისხლის სამართლის პროცესში, მსჯავრდება, ნასამართლობა, განრიდება, ადამიანით ვაჭრობის (ტრეფიკინგის) ან „ქალთა მიმართ ძალადობის ან/და იჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის შესაბამისად დანაშაულის მხვერპლთად ცნობა, პატიმრობა და მის მიმართ სასჯელის აღსრულება, აგრეთვე ბიომეტრიული და გენეტიკური მონაცემები, რომელიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება.
განსაკუთრებული კატეგორიის მონაცემები განსაკუთრებით მგრძნობიარე და მაღალი დაცვის საჭიროების მქონეა. განსაკუთრებული კატეგორიის მონაცემების მნიშვნელობიდან გამომდინარე, კანონმდებელმა, მონაცემთა სივრციდან ცალკე გამოყო მონაცემთა დაცვის უფლებაში მოაზრებული განსაკუთრებული კატეგორიის მონაცემები, რომელთა რეგულირების მიმართ განსხვავებული რეჟიმი დაადგინა და კანონის მე-6 მუხლში განსაზღვრა განსაკუთრებული კატეგორიის მონაცემების დამუშავების სპეციალური საფუძვლები.
განსაკუთრებული კატეგორიის პერსონალურ მონაცემს, მათ შორის განეკუთვნება პაციენტის ჯანმრთელობის შესახებ ინფორმაცია. ყოველდღიურად ჯანმრთელობის დაცვის დაწესებულებებს/სექტორს ათასობით ადამიანი მიმართავს. შესაბამისად, გაწეული სამედიცინო მომსახურების ფარგლებში, ხდება პაციენტების პერსონალური მონაცემების დამუშავება. აღნიშნულ ინფორმაციას ამუშავებენ სტაციონარული და ამბულატორიული სამედიცინო დაწესებულებები, სტომატოლოგიური კლინიკები, ადგილობრივი თვითმმართველობის ორგანოები, ლაბორატორიები, სადაზღვევო კომპანიები, ჯანდაცვის სექტორის მართვაზე და ადმინისტრირებაზე პასუხისმგებელი საჯარო სამართლის იურიდიული პირები და სხვა. იმის გათვალისწინებით, რომ ჯანმრთელობასთან დაკავშირებული მონაცემები, რიგ შემთხვევაში შეიცავს ინტიმურ დეტალებს ინდივიდის პირადი ცხოვრების, მისთვის სამედიცინო მომსახურების გაწევის, მისი ფსიქიკური და ფიზიკური მდგომარეობის შესახებ, მათი უკანონო დამუშავება შესაძლოა არა მხოლოდ პირადი ცხოვრების ხელშეუხებლობის დარღვევის, არამედ ღირსების შელახვის, სტიგმატიზაციის ან
დისკრიმინაციის მიზეზიც გახდეს. სწორედ ამიტომ, პაციენტის პერსონალური მონაცემების კონფიდენციალურობა წარმოადგენს როგორც სამართლებრივ, ისე ეთიკურ კატეგორიას.
უნდა აღინიშნოს, რომ საერთაშორისო დონეზე, ევროკავშირის ზოგადი რეგულაცია მონაცემთა დაცვის შესახებ (GDPR) მკაცრ სტანდარტებს აწესებს პაციენტის ჯანმრთელობის მდგომარეობის შესახებ მონაცემების დამუშავებისას, რადგან ისინი როგორც უკვე ავღნიშნე, განსაკუთრებულად დაცულ კატეგორიის მონაცემებად მიიჩნევა. ევროკავშირის ზოგადი რეგულაციის მონაცემთა დაცვის შესახებ (პირადი მონაცემების დაცვის ზოგადი რეგულაცია GDPR-ის) მე-9 მუხლი კრძალავს ჯანმრთელობის მონაცემების დამუშავებას, გარდა მკაფიოდ განსაზღვრული მიზნებისა, აღნიშნული მიზანი მაგალითად შეიძლება იყოს: მკურნალობის, საზოგადოებრივი ჯანმრთელობის დაცვის მიზნით, პაციენტის პირდაპირი თანხმობით.
ადამიანის უფლებათა ევროპული სასამართლო (ECHR) არაერთ გადაწყვეტილებაში ადასტურებს, რომ სამედიცინო მონაცემების დაცვის უფლება არის პირადი ცხოვრების ხელშეუხებლობის განუყოფელი ნაწილი (მაგალითად, I. v. Finland, 2008). შესაბამისად, შიდა სახელმწიფოებრივი რეგულაციითაც პაციენტის პერსონალური მონაცემი დაცვის მაღალი სტანდარტით გამოირჩევა, კერძოდ საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ (2012, 2024 წლის ცვლილებებით) ადგენს პაციენტის მონაცემთა დამუშავების ზოგად პრინციპებს: კანონიერება, სამართლიანობა და გამჭვირვალობა, კონკრეტული, მკაფიოდ განსაზღვრული ლეგიტიმური მიზნობრიობა, მონაცემთა მინიმიზაცია, ნამდვილობა და სიზუსტე, შენახვის ვადების შეზღუდულობა, პასუხისმგებლობა და უსაფრთხოება. საქართველოს კანონი „ჯანმრთელობის დაცვის შესახებ“ ამკვიდრებს პაციენტის უფლებას, რათა მისი ჯანმრთელობის მდგომარეობის შესახებ ინფორმაცია იყოს კონფიდენციალური და ხელმისაწვდომი, მხოლოდ თავად პაციენტისთვის ან მისი თანხმობით მესამე პირებისთვის. საქართველოს კანონი „სამედიცინო საქმიანობის შესახებ“ განსაზღვრავს ექიმის პროფესიულ ვალდებულებას დაიცვას სამედიცინო საიდუმლო და პაციენტის უფლებები, რომელიც თავის მხრივ ეფუძნება ადამიანის უფლებათა საყოველთაო დეკლარაციას. პაციენტის უფლებები საერთაშორისო თუ ეროვნულ სამართლებრივი რეგულაციებით არის გარანტირებული. საქართველოში პაციენტის უფლებები რეგულირდება კანონით ,,პაციენტის უფლებების შესახებ", განსაზღვრავს პაციენტის ფუნდამენტურ უფლებებს, მათ შორის: სამედიცინო მომსახურების მიღების უფლებას, ინფორმირებული თანხმობის უფლებას, კონფიდენციალურობის დაცვის უფლებას, სამედიცინო დოკუმენტაციასთან წვდომის უფლებას, მეორე აზრის მოძიების უფლებას, ღირსეული მოპყრობის უფლებას, საჩივრის წარდგენის უფლებას და სხვა. თავის მხრივ, საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, განსაზღვრავს პაციენტის, როგორც პერსონალური, ისე განსაკუთრებული კატეგორიის პერსონალური მონაცემების დაცვის უფლებას და გარანტიებს.
ზ/აღნიშნულიდან გამომდინარე ისმის კითხვა, ვინ და როგორ, რა საშუალებებით ხდება სამედიცინო დაწესებულებებში პაციენტის პერსონალური მონაცემების დაცვა? მას შემდეგ, რაც პაციენტი მიმართავს სამედიცინო დაწესებულებას, ადგილზე მისგან ან პაციენტის კანონიერი წარმომადგენლისგან ან მესამე პირისაგან ხდება პაციენტის პერსონალური მონაცემების: სახელის, გვარის, პირადი ნომერის, სქესის, მისამართის, ტელეფონის ნომერის, ელექტრონული ფოსტის მიწოდება და ასევე, სამედიცინო დაწესებულებაში გროვდება პაციენტის ჯანმრთელობის მდგომარეობასთან დაკავშირებული განსაკუთრებული კატეგორიის პერსონალური მონაცემები. კანონმა კონკრეტულად განმარტა თუ რა წარმოადგენს ჯანმრთელობის მდგომარეობასთან დაკავშირებულ მონაცემს, კერძოდ, „ეს არის მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ, აგრეთვე მისთვის სამედიცინო მომსახურების გაწევის თაობაზე ინფორმაცია, თუ იგი მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ ინფორმაციას იძლევა“.
ამრიგად, სამედიცინო დაწესებულება (პერსონალურ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი) ახდებს პერსონალური მონაცემების დამუშავებას, რაც გულისხმობს, მონაცემთა მიმართ ნებისმიერი შემდეგი მოქმედების შესრულებას: ინფორმაციის/მონაცემების შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით;
პერსონალურ მონაცემთა დამუშავება კანონიერია მაშინ, როდესაც არსებობს დამუშავების შესაბამისი საფუძველი და დაცულია ყველა კანონისმიერი მოთხოვნა. რაც იმას ნიშნავს, რომ მიუხედავად იმისა, მონაცემი ეკუთვნის ბავშვს თუ ზრდასრულ პირს დამუშავების ოპერაციები სამართლებრივ მოთხოვნებთან სრულ შესაბამისობაში უნდა იყოს. იმისათვის რომ სამედიცინო დაწესებულების მიერ პაციენტის პერსონალურ მონაცემების დამუშავება კანონიერად იქნეს მიჩნეული, პაერონალური მონაცემის დამუშავების მითითებული ექვსი სამართლებრივი საფუძვლიდან მინიმუმ ერთს მაინც უნდა აკმაყოფილებდეს, კერძოდ სახეზე უნდა იყოს: ა) მონაცემთა სუბიექტის თანხმობა; ბ) ხელშეკრულების შესრულება ან მის გაფორმებამდე გარკვეული ზომების მიღება; გ) სამართლებრივი ვალდებულების შესრულება; დ) მონაცემთა სუბიექტის ან სხვა ფიზიკური პირის სასიცოცხლო ინტერესების დაცვა; ე) საჯარო ინტერესის სფეროში შემავალი ამოცანების შესრულება ან ოფიციალური უფლებამოსილების განხორციელება; ვ) მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ან სხვა მხარის ლეგიტიმურიინტერესები (თუ განსახილველ ინტერესებს არ გადაწონის მონაცემთა სუბიექტის ინტერესები ან ფუნდამენტური უფლებები და თავისუფლებები).
ამრიგად, სამედიცინო დაწესებულების მიერ პაციენტის პერსონალური მონაცემების დამუშავებისას სამედიცინო დაწესებულება ვალდებულია პაციენტის პერსონალური მონაცემები შეაგროვოს მხოლოდ მკურნალობისა და სამედიცინო მომსახურების მიზნებისთვის. შეგროვებული მონაცემების შეინახვა უზრუნველყოს ტექნიკური და ორგანიზაციული ზომებით: დაშიფვრა, პაროლით დაცვა, წვდომის ლიმიტირება და ა.შ. პერსონალური მონაცემების გადაცემა განახორციელოს პაციენტის წერილობითი თანხმობის საფუძველზე ან კანონის მოთხოვნით (მაგალითად, სასამართლოს განჩინების შესაბამისად). განახორციელოს ვიდეოთვალთვალის ჩანაწერები ლეგალური საფუძველით შენახვისა და გამოყენების წესების დაცვით და ა.შ.
ზ/აღნიშნული კანონიერი საფუძვლის არსებობის მიუხედავად, სამედიცინო დაწესებულება (პერსონალურ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი) „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-6 მუხლის მიხედვით, უფლებამოსილია, პაციენტის (მონაცემთა სუბიექტების) განსაკუთრებული კატეგორიის პერსონალური მონაცემები დაამუშაოს მხოლოდ იმ შემთხვევაში, თუ მონაცემთა სუბიექტმა განაცხადა წერილობითი თანხმობა ერთი ან რამდენიმე კონკრეტული მიზნით განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე. სამედიცინო დაწესებულება პაციენტის წერილობით თანხმობასთან ერთად, ამავდროულად ვალდებულია, დაასაბუთოს განსაკუთრებული კატეგორიის მონაცემთა დამუშავების სამართლებრივი საფუძვლის არსებობა.
აქვე, განსაკუთრებით უნდა გამოვყო და შევეხოთ საკითხს, არასრულწლოვანი პაცინეტების უფლების დაცვის მიზნებისთვის, თუ როგორ და ვისგან ხდება არასრულწლოვანთან მიმართებით, მისი განსაკუთრებული კატეგორიის პერსონალური მონაცემის დამუშავებაზე თანხმობის მიღება. არასრულწლოვანის შესახებ მონაცემთა დამუშავებაზე თანხმობის გაცემის წესი და პირობები განსაზღვრულია „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-7 მუხლით. სამედიცინო დაწესებულება ვალდებულია, გაითვალისწინოს და დაიცვას არასრულწლოვანის
საუკეთესო ინტერესები. ამასთანავე, იგი ვალდებულია მონაცემთა სუბიექტს, განსაკუთრებით თუკი მონაცემთა სუბიექტი არასრულწლოვანია, მიაწოდოს ინფორმაცია მარტივ და მისთვის გასაგებ ენაზე. ამასთან, მნიშვნელოვანია ასევე დადგინდეს არასრულწლოვანის ასაკი, რადგან უნდა განისაზღვროს, თუ რამდენად შეუძლია ბავშვს, განჭვრიტოს პერსონალური მონაცემების დამუშავების პოტენციური შედეგები და გაიაზროს რასთან დაკავშირებით აცხადებს თანხმობას. ასაკის დადასტურების კონტექსტში მხედველობაში უნდა იქნეს მიღებული მიზნის შეზღუდვისა და მონაცემთა შენახვის ვადის შეზღუდვის პრინციპები, კერძოდ, შეგროვებული პერსონალური მონაცემები უნდა დამუშავდეს მხოლოდ ასაკის დადასტურებისთვის და ორგანიზაციამ სხვა მიზნებისთვის არ უნდა გამოიყენოს. მოქმედი რეგულაციის თანახმად, 16 წლის ასაკს მიღწეულ პირს შეუძლია განაცხადოს თანხმობა თავისი პერსონალური მონაცემების დამუშავებაზე, ხოლო 16 წლამდე არასრულწლოვანის შემთხვევაში საჭიროა მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა, მათ შორის, როდესაც მონაცემთა დამუშავებისთვის აუცილებელია 16 წლიდან 18 წლამდე არასრულწლოვანისა და მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა. სამედიცინო დაწესებულება ვალდებულია მიიღოს გონივრული და ადეკვატური ზომა 16 წლამდე არასრულწლოვანის მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის არსებობის დასადასტურებლად. არასრულწლოვანის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვანის საუკეთესო ინტერესებს. არასრულწლოვანის შესახებ განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ მისი მშობლის ან სხვა კანონიერი წარმომადგენლის წერილობითი თანხმობის საფუძველზე, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა.
ზ/აღნიშნულთან დაკავშირებით კანონი როგორც სრულწლოვან ისე არასრულწლოვან პაციენტებთან მიმართებით, აწესებს გარკვეულ გამონაკლისებს, როდესაც სამედიცინო დაწესებულებას არ ეკისრება ვალდებულება, მონაცემთა სუბიექტისგან მოიპოვოს წერილობითი თანხმობა პერსონალური მონაცემების დამუშავებაზე. ასეთი გამონაკლისი მათ შორის შეიძლება იყოს იმ შემთხვევაში თუ: განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია „სასიცოცხლო ინტერესების დაცვისთვის“, „საზოგადოებრივი ჯანმრთელობისთვის“, „საჯარო ინტერესისთვის“ და კანონით კონკრეტულად განსაზღვრულ სხვა შემთხვევებში.
პაციენტს მისი პერსონალური მონაცემების დამუშავებაზე თანხმობის გაცემამდე, მნიშვნელოვანია განემარტოს ორგანიზაციისა და დამუშავებისთვის პასუხისმგებელი პირის ვინაობა, მონაცემთა დამუშავების მიზანი/მიზნები, რა ოპერაციები განხორციელდება პაციენტის პერსონალური მონაცემების დამუშავებისას, გარკვევით მიეწოდოს ინფორმაცია, იმასთან დაკავშირებით, რომ მას აქვს თანხმობის გამოხმობის უფლება, აგრეთვე, მონაცემთა სუბიექტს უნდა ეცნობოს, თუ რა ფორმით შეძლებს იგი გაცემული თანხმობის გამოხმობას. მას შემდეგ, რაც მოხდება პაციენტის ინფორმირება, სამედიცინო დაწესებულების მიერ, მხოლოდ ამის შემდეგ უნდა მოხდეს პაციენტის პერსონალური მონაცემების დამუშავებასთან დაკავშირებით თანხმობის მოპოვება.
ზ/აღნიშნულ საკითხთან დაკავშირებით მნიშვნელოვანია თავად სამედიცინო დაწესებულებამ გაითვალისწინოს პერსონალურ მონაცემთა დაცვის სამსახურის მიერ გაცემული რეკომენდაცია, რომლის თანახმადაც, თანხმობის მოთხოვნა წარმოდგენილი უნდა იყოს სხვა წესებისა და პირობებისაგან განცალკევებით, რათა მონაცემთა სუბიექტმა/პაციენტმა ყურადღება მიაქციოს და მარტივად აღიქვას; მონაცემთა დამუშავების შესახებ მოთხოვნა უნდა იქნეს შედგენილი გასაგები ენით; თანხმობის მოთხოვნის ფორმა უნდა იქნეს მორგებული სამიზნე აუდიტორიაზე, განსაკუთრებით მაშინ, როდესაც ადრესატები არასრულწლოვნები არიან. მოცემულ შემთხვევაში გასათვალისწინებელია ბავშვის ასაკი; თანხმობის ფორმაში არ უნდა იქნეს გამოყენებული ბუნდოვანი
და ორაზროვანი ტერმინები. ასეთის არსებობის შემთხვევაში, პაციენტს უფლება აქვს მოითხოვოს ბუნდოვანი ან/და ორაზროვანი ჩანაწერის დაზუსტება და განმარტება.
კანონის მოთხოვნათა დაცვის და აღნიშნული რეკომენდაციის გათვალისწინების მიზნებისთვის, სამედიცინო დაწესებულებამ პაციენტისგან თანხმობა უნდა მოითხოვოს შემდეგზე: სამედიცინო მომსახურების გაწევისას, საჭიროების შემთხვევაში მკურნალობის პროცესში სამედიცინო სხვადასხვა მიმართულების ექიმ-სპეციალისტის ჩართვისას, მესამე პირებზე - მზღვეველი, გაწეული მომსახურების ანაზღაურების/დაფინანსების ღირებულების ასანაზღაურებლად, პაციენტისთვის გაწეული მომსახურების ხარისხის ან/და პროცედურების შესრულების გადამოწმების მიზნით ქირურგიული ჩარევისას, ვიდეო-აუდიო მონიტორინგის განხორციელებაზე, სამედიცინო დაწესებულებამ პაციენტისგან ასევე უნდა მოიპოვოს თანმობა იმაზე, რომ პაციენტის სამედიცინო და ფინანსური დოკუმენტაცია გადააგზავნოს მის ელ. ფოსტის მისამართზე, ასევე ინფორმაცია მიეწოდოს ტელეფონის ნომერზე, დაამუშაოს პაციენტის პერსონალური მონაცემები მარკეტინგული მიზნებისათვის, როგორც სამედიცინო დაწესებულების, ასევე იმ პირის მიერ რომელიც განახორციელებს სამედიცინო დაწესებულების პროგრამულ მხარდაჭერას, როგორც მონაცემთა დამუშავებაზე უფლებამოსილი პირი. აქვე განმარტებული უნდა იყოს პერსონალური მონაცემების მარკეტინგული მიზნით დამუშავების მიზანი და ფარგლები. (მაგ: მივიღო ინფორმაცია სამედიცინო დაწესებულების შეთავაზებებსა და მომსახურებებზე.) თანხმობა მოპოვებული უნდა იყოს პაციენტის სამედიცინო და ფინანსური დოკუმენტაციის სახელმწიფო, მარეგულირებელ ორგანოების, მომსახურების ან მისი ნაწილის დამფინანსებლების, სამართალდამცავ ორგანოებისთვის, კანონმდებლობით გათვალისწინებული მოთხოვნის დაცვით, გადაცემაზე, თანხმობა იმასთან დაკავშირებით, რომ სამედიცინო დაწესებულებამ პაციენტის პერსონალური მონაცემების განსაზღვრული მიზნებით დამუშავება გააგრძელოს იმ ვადით, რომელიც შეესაბამება სამედიცინო მომსახურების მიზნებს და/ან განსაზღვრულია კანონმდებლობით.
პაციენტის მიერ თანხმობის მოპოვების შედეგ, სამედიცინო დაწესებულებამ უნდა შეინახოს პაციენტის თანხმობასთან დაკავშირებით შემდეგი ინფორმაცია: ვინ დაეთანხმა მონაცემთა დამუშავებას: მონაცემთა სუბიექტის სახელი და საიდენტიფიკაციო მონაცემი; თანხმობის მიღების თარიღი: დათარიღებული დოკუმენტის ასლი, ონლაინ დოკუმენტი, რომელშიც ასახულია თანხმობის გაცემის თარიღი. ზეპირი თანხმობის შემთხვევაში უნდა აღირიცხოს თანხმობის გაცემის დრო და თარიღი.
მოქმედი კანონმდებლობის თანახმად, პაციენტს (მონაცემთა სუბიექტის) უფლება/შესაძლებლობ აქვს გამოიხმოს გაცემული თანხმობა, რაც „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-20 მუხლით გარანტირებული უფლებაა. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე, გამოიხმოს მის მიერ გაცემული თანხმობა.
მონაცემთა სუბიექტს უფლება აქვს, თანხმობა გამოიხმოს იმავე ფორმით, რომლითაც თანხმობა განაცხადა. მონაცემთა სუბიექტს თანხმობის გამოხმობამდე უფლება აქვს, სამედიცინო დაწესებულებას (დამუშავებისთვის პასუხისმგებელ პირს) მოსთხოვოს და მიიღოს ინფორმაცია თანხმობის გამოხმობის შესაძლო შედეგების შესახებ.
რა ხდება მას შემდეგ, რაც მონაცემთა სუბიექტი გამოიხმობს თანხმობას? ამ შემთხვევაში, მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, სამედიცინო დაწესებულებამ უნდა შეწყვიტოს მისი პერსონალური მონაცემების დამუშავება ან/და დამუშავებული მონაცემები წაშალოს ან გაანადგუროს მოთხოვნიდან არა უგვიანეს 10 სამუშაო დღისა, თუ მონაცემთა დამუშავების სხვა საფუძველი არ არსებობს. აქვე მნიშვნელოვანია განიმარტოს, რომ მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობა არ იწვევს თანხმობის გამოხმობამდე და თანხმობის ფარგლებში წარმოშობილი სამართლებრივი
შედეგების გაუქმებას. მონაცემთა სუბიექტის მოთხოვნის საფუძველზე ან იმ შემთხვევაში, თუ ეს მონაცემთა სუბიექტისთვის წარმოშობს სამართლებრივ, ფინანსურ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობამდე მიაწოდოს მას ინფორმაცია თანხმობის გამოხმობის შედეგების შესახებ. თანხმობის გამოხმობის შემთხვევა, სამედიცინო დაწესებულებამ (დამუშავებისთვის პასუხისმგებელმა პირმა უნდა აღრიცხოს თანხმობის გამოხმობის ფაქტი და მიუთითოს შესაბამისი დრო.
და ბოლოს, მნიშვნელოვანია აღინიშნოს, რომ მონაცემთა დამუშავებაზე პაციენტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში, პაციენტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი სამედიცინო დაწესებულებას ეკისრება.
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი, სამედიცინო დაწესებულებებში, პაციენტის პერსონალურ მონაცემთა დამუშავების ერთ-ერთ სახედ, ითვალისწინებს ვიდეომონიტორინგისა და აუდიომონიტორინგის განხორციელებას. მიუხედავად სამედიცინო დაწესებულების მიერ ვიდეომონიტორინგის საშუალებით პაციენტების, დასაქმებულთა თუ სხვა მესამე პირების უსაფრთხოების უზრუნველყოფის ინტერესისა, აუცილებელია, თავიდან იქნეს აცილებული მონაცემთა ყველა შესაძლო არამიზნობრივი და შესაბამისად, უკანონო დამუშავება.
სამედიცინო დაწესებულების მიერ ვიდეომონიტორინგის განხორციელებისას, გადამწყვეტი მნიშვნელობა ენიჭება მისი განხორციელების მიზანს. „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-10 მუხლი დეტალურად განსაზღვრავს, თუ რა მიზანს შეიძლება ემსახურებოდეს ვიდეომონიტორინგი და ამ გზით პერსონალური მონაცემის დამუშავება. კერძოდ, ვიდეომონიტორინგის განხორციელება დასაშვებია, თუ იგი მიზნად ისახავს შემდეგი ამოცანების შესრულებას: დანაშაულის თავიდან აცილებას ან მის გამოვლენას; საზოგადოებრივი უსაფრთხოების დაცვას; პირის უსაფრთხოებისა და საკუთრების დაცვას; არასრულწლოვანის დაცვას (მათ შორის, მავნე ზეგავლენისგან დაცვა); საიდუმლო ინფორმაციის დაცვას და ა.შ; აღსანიშნავია, რომ მოცემული ჩამონათვალი არ არის ამომწურავი და შესაძლოა არსებობდეს სხვა საჯარო ან/და ლეგიტიმური ინტერესი, რომელიც ვიდეომონიტორინგს აუცილებელს გახდის. თუმცა ნებისმიერ შემთხვევაში უსაფრთხოების, საკუთრების თუ ინფორმაციის დაცვის ზემოხსენებული საჭიროება უნდა გამომდინარეობდეს რეალურად მოსალოდნელი საფრთხისაგან და ვიდეომონიტორინგის განხორციელება მონაცემთა დამუშავების მიზნის ადეკვატურ და პროპორციულ საშუალებას უნდა წარმოადგენდეს.
სამედიცინო დაწესებულებას ვიდეომონიტორინგის განსახორციელებლად წერილობით უნდა ჰქონდეს განსაზღვრული ვიდეომონიტორინგის მიზანი და მოცულობა, ვიდეომონიტორინგის ხანგრძლივობა და ვიდეოჩანაწერის შენახვის ვადა, ვიდეოჩანაწერზე წვდომის, მისი შენახვის, განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები. სამედიცინო დაწესებულების შესაბამის სივრცეში განთავსებული უნდა იყოს ვიდეომონიტორინგის ან/და აუდიომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი.
ვიდეოთვალთვალის განხორციელება არ დაიშვება, პაციენტის საკოსულტაციო ოთახებსა და ჰიგიენისათვის განკუთვნილ ადგილებში, ასევე, ისეთ სივრცეში, სადაც პაციენტი პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და როდესაც ვიდეომონიტორინგის განხორციელება საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება. ამრიგად, სამედიცინო დაწესებულების მიერ, პაციენტთან კონსულტაციის გაწევის, მაღალტექნოლოგიური გამოკვლევების ჩატარების, ლაბორატორიული გამოკვლევების, პაციენტის გასინჯვის სივრცეში არ უნდა
ხდებოდეს ვიდეო და აუდიო მონიტორინგი, რადგან ექიმსა და პაციენტს შორის ნდობა ეფუძნება რწმენას, რომ პაციენტის ჯანმრთელობის შესახებ ინფორმაცია გარდა ექიმისა, სხვა პირის ან პირებისთვის არ იქნება ხელმისაწვდომი. პაციენტის პერსონალური მონაცემების დაცვა არის ფუნდამენტური უფლება და ექიმ-პაციენტის ურთიერთობის ქვაკუთხედი. შესაბამისად, კონფიდენციალურობის დარღვევა გამოიწვევს არა მხოლოდ სამართლებრივ პასუხისმგებლობას, არამედ ნდობის კრიზისს სამედიცინო სისტემისადმი. შესაბამისად, სამედიცინო დაწესებულებამ უნდა უზრუნველყოს ვიდეო და აუდიო მონიტორინგის განხორციელებისას მოპოვებული პაციენტის პერსონალური მონაცემების დაცვა და ამ მონაცემების უსაფრთხოება.
და ბოლოს, მკითხველის ყურადღებას შევაჩერებ იმ ძირითად პრობლემებზე, რომელსაც როგორც საქართველოში, ისე საერთაშორისო პრაქტიკაში ვხვდებით პაციენტის პერსონალური მონაცემების დაცვის სფეროში. უნდა აღინიშნოს, რომ ამ მიმართულებით მნიშვნელოვან გამოწვევას წარმოადგენს: პაციენტის არაინფორმირებული თანხმობა, მონაცემთა უსაფრთხოება და გაჟონვის რისკი, მონაცემების მიზნის შეუსაბამოდ დამუშავება, ზედმეტი მონაცემების შეგროვება, ვიდეო და აუდიო მონიტორინგის წესების დარღვევა, ტექნოლოგიური გამოწვევები პაციენტის პერსონალური მონაცემების დაცვისას.
პირველ რიგში, სწორედ ინფორმაციული ტექნოლოგიების განვითარებისას, პერსონალური მონაცემების დაცვის სფეროში წარმოშობილ ახალ საფრთხეებზე ვისაუბრებ. იყო პერიოდი, როდესაც პაციენტის მონაცემები მხოლოდ ქაღალდზე ინახებოდა და მისი უსაფრთხოება ძირითადად ფიზიკურ დაცვაზე იყო დამოკიდებული, დღეს ჯანმრთელობის შესახებ ინფორმაცია ელექტრონულ სისტემებში გროვდება, მუშავდება და სხვადასხვა პლატფორმაზე გადაადგილდება. ეს რეალობა მნიშვნელოვნად ზრდის მონაცემთა გაჟონვისა და უკანონო დამუშავების რისკებს. ამ მიმართულებით მნიშვნელოვანი პრობლემაა პერსონალური მონაცემების კიბერუსაფრთხოების დაცვა. სამედიცინო დაწესებულებების ელექტრონული სისტემები ხშირად ხდება ჰაკერული თავდასხმის ობიექტი. კიბერთავდასხმა მიზნად ისახავს მონაცემთა ბაზების გატეხვას, სადაც თავმოყრილია პაციენტების განსაკუთრებული კატეგორიის მონაცემები, მათ შორის ჯანმრთელობის ისტორია, დიაგნოზები, გენეტიკური ინფორმაცია და ფინანსური დეტალები. მსგავსი მონაცემები განსაკუთრებით მიმზიდველია არაკეთილსინდისიერი პირებისთვის, ვინაიდან მათი უკანონო გამოყენება შესაძლებელია როგორც ეკონომიკური სარგებლის, ისე შანტაჟის, დისკრიმინაციისა თუ პოლიტიკური მიზნებისთვის.
გარდა კიბერშეტევებისა, პრობლემას წარმოადგენს ინფორმაციის არასწორი ადმინისტრირება და IT სისტემების ტექნიკური სისუსტე. არაერთი შემთხვევაა, როდესაც სამედიცინო დაწესებულებას არ გააჩნია საკმარისი ტექნიკური ზომები მონაცემთა დასაცავად: არ გამოიყენება დაშიფვრა (Encryption), არ ხდება აუდიტ-ლოგების შენახვა, პერსონალს შორის გავრცელებულია საერთო პაროლები. შედეგად, პერსონალური მონაცემებისადმი წვდომა ხდება უკონტროლო და ხშირად შეუძლებელია დაადგინო, ვინ მოახდინა მონაცემებზე წვდომა და რა მიზნებით.
მნიშვნელოვან საფრთხეს წარმოადგენს ღრუბლოვანი სისტემების (Cloud Computing) გამოყენება. თანამედროვე სამედიცინო დაწესებულებები ხშირად მიმართავენ ღრუბლოვან სერვისებს მონაცემთა შესანახად, რაც იწვევს მონაცემთა დამუშავების ტერიტორიული პრინციპის პრობლემას. მონაცემები შესაძლოა ინახებოდეს უცხო სახელმწიფოს სერვერებზე, სადაც მოქმედებს განსხვავებული სამართლებრივი რეჟიმი. ეს ქმნის დილემას: რა ხდება იმ შემთხვევაში, თუ მონაცემთა უსაფრთხოებაზე პასუხისმგებელი ქვეყნის კანონმდებლობა არ შეესაბამება ევროკავშირის ან საქართველოს კანონით დადგენილ სტანდარტებს? პრაქტიკაში ეს საკითხი განსაკუთრებით პრობლემურია იმ შემთხვევებში, როდესაც მონაცემებზე წვდომას ითხოვს უცხო ქვეყნის სამართალდამცავი ორგანო.
ასევე, პრობლემას ქმნის ხელოვნური ინტელექტისა და ბიგ-დატას ანალიტიკის გამოყენება ჯანდაცვის სფეროში. თანამედროვე სამედიცინო კვლევებში ხშირად გამოიყენება მონაცემთა მასიური ანალიზი, რომელიც დაკავშირებულია ალგორითმულ პროგნოზებთან და სამედიცინო რეკომენდაციების ავტომატურ გენერაციასთან. თუმცა, არსებობს საფრთხე, რომ მონაცემთა დამუშავება განხორციელდეს მონაცემთა სუბიექტის ინფორმირებული თანხმობის გარეშე ან პერსონალური მონაცემების მინიმიზაციის პრინციპის დარღვევით. მაგალითად, ალგორითმული სისტემები შესაძლოა მოითხოვდეს გაცილებით მეტ მონაცემს, ვიდრე კონკრეტული კვლევის ჩატარებისთვის არის საჭირო.
განსაკუთრებით უნდა ავღნიშნო შიდა საფრთხეების არსებობა. კერძოდ, ხშირად მონაცემთა უსაფრთხოების დარღვევა ხდება არა გარე შეტევების, არამედ შიდა თანამშრომლების მხრიდან. სამედიცინო პერსონალის დაუდევრობით ან განზრახ ქმედებით შესაძლებელია მოხდეს პაციენტის ჯანმრთელობის შესახებ ინფორმაციის უკანონო გავრცელება. სწორედ ამიტომ, მონაცემთა დაცვის თანამედროვე სტანდარტები მოითხოვს არა მხოლოდ ტექნიკური, არამედ ორგანიზაციული ზომების მიღებას, მათ შორის პერსონალის რეგულარულ ტრენინგს და პასუხისმგებლობის მკაფიო დადგენას.
ტექნოლოგიური გამოწვევების ერთ-ერთ მნიშვნელოვან ასპექტს წარმოადგენს პაციენტის არასაკმარისი ინფორმირებულობა. ხშირია შემთხვევები, როდესაც პაციენტი ვერ აცნობიერებს, რომ სამედიცინო დაწესებულების მიერ გამოყენებული ელექტრონული სისტემები დაკავშირებულია მონაცემთა დამუშავების რისკებთან. პაციენტები იშვიათად სთხოვენ დაწესებულებებს განმარტებას, თუ სად ინახება მათი მონაცემები, როგორია უსაფრთხოების ზომები და ვის აქვს მათზე წვდომა.
ამრიგად, ციფრული ეპოქის პირობებში, პერსონალური მონაცემების დაცვის სამართლებრივი გარანტიების ეფექტიანობა დიდწილად დამოკიდებულია ტექნიკური და ორგანიზაციული უსაფრთხოების მექანიზმების გაუმჯობესებაზე. მხოლოდ კანონით დადგენილი ნორმების არსებობა არ არის საკმარისი და აუცილებელია მათ პრაქტიკულ განხორციელებას თან ახლდეს ინოვაციური ტექნოლოგიური გადაწყვეტილებები, კიბერუსაფრთხოების მაღალი სტანდარტების დანერგვა, მუდმივი მონიტორინგი და ა.შ.
მნიშვნელოვანია აღინიშნოს, რომ სამედიცინო სფეროში პერსონალური მონაცემების ზ/აღნიშნული ტექნოლოგიური საფრთხეები მხოლოდ თეორიულ დონეზე არ არსებობს – ისინი რეალურად გამოვლინდა მრავალი ქვეყნის პრაქტიკაში. ამ მიმართულებით საინტერესოა აშშ-ის გამოცდილება. 2015 წელს ერთ-ერთი ყველაზე მასშტაბური კიბერშეტევა განხორციელდა Anthem Inc.-ზე, რომელიც ამერიკის უდიდესი სადაზღვევო კომპანიებიდან ერთ-ერთია. ჰაკერებმა მოიპოვეს დაახლოებით 80 მილიონი პაციენტის პერსონალური მონაცემი, მათ შორის სახელები, დაბადების თარიღები, სოციალური უსაფრთხოების ნომრები და სამედიცინო ინფორმაცია. აღნიშნული შემთხვევა ხშირად მოიხსენიება, როგორც ჯანდაცვის სფეროში ყველაზე მასშტაბური მონაცემთა გაჟონვა, რომელმაც ცხადყო, რომ ჯანმრთელობის მონაცემები კიბერშეტევების ყველაზე მიზნობრივი ობიექტია. 2017 წელს აშშ-ის ჯანდაცვის სფეროში დაფიქსირდა მონაცემთა გაჟონვის 300-ზე მეტი შემთხვევა, მსხვერპლთა საერთო რაოდენობამ 5 მილიონ ადამიანს გადააჭარბა. ეს შემთხვევები მოიცავდა როგორც გარე კიბერშეტევებს, ასევე შიდა თანამშრომელთა დაუდევრობით ან განზრახ ქმედებით გამოწვეულ დარღვევებს.
რაც შეეხება ევროპის გამოცდილებას, ევროპის ქვეყნებშიც არაერთხელ დაფიქსირდა ჯანდაცვის სფეროზე კიბერშეტევები. 2017 წელს ფართომასშტაბიანმა WannaCry ransomware-ის კიბერთავდასხმამ მძიმე შედეგები მოუტანა დიდ ბრიტანეთს. შეტევამ პარალიზება მოახდინა ეროვნული ჯანდაცვის სისტემის (NHS) მუშაობას: დაიბლოკა კლინიკების კომპიუტერული სისტემები, გაუქმდა ათასობით
ოპერაცია და პაციენტის სამედიცინო ისტორიის მიღება შეუძლებელი გახდა. აღნიშნულმა შემთხვევამ ნათლად აჩვენა, რომ მონაცემთა დაცვის გარდა, კიბერუსაფრთხოების დარღვევა პირდაპირ საფრთხეს უქმნის პაციენტის სიცოცხლესა და ჯანმრთელობასაც. 2019 წელს საფრანგეთში ჰაკერებმა გატეხეს ერთ-ერთი ლაბორატორიის სისტემა და ინტერნეტში გამოაქვეყნეს დაახლოებით 500,000 პაციენტის ჯანმრთელობის მონაცემები, მათ შორის HIV სტატუსი და გენეტიკური ტესტების შედეგები. ეს შემთხვევა თვალნათლივ წარმოაჩენს, თუ რაოდენ მძიმე შედეგები შეიძლება მოჰყვეს მონაცემთა გაჟონვას – პაციენტები აღმოჩნდნენ დისკრიმინაციისა და სოციალური სტიგმის საფრთხის წინაშე.
გაერთიანებული ერების ორგანიზაციის მონაცემები მიუთითებს, რომ 2020 წლიდან მოყოლებული, ჯანდაცვის სფეროზე განხორციელებული კიბერშეტევების რაოდენობა ყოველწლიურად 50%-ზე მეტით იზრდება. COVID-19 პანდემიის პირობებში ტენდენცია კიდევ უფრო გამძაფრდა, რადგან პანდემიამ მასობრივი ციფრული კომუნიკაციის პირობებში სამედიცინო სისტემები მეტად მოწყვლადი გახადა.
აღნიშნული მაგალითები ცხადყოფს, რომ ტექნოლოგიური გამოწვევები საერთაშორისო მასშტაბით ერთ-ერთ ყველაზე მნიშვნელოვან პრობლემად იქცა. მათზე რეაგირება მოითხოვს არა მხოლოდ შიდა სახელმწიფოებრივ რეგულაციებს, არამედ საერთაშორისო თანამშრომლობასაც. ამ მხრივ, ევროკავშირის ზოგადი რეგულაცია მონაცემთა დაცვის შესახებ (GDPR) ავალდებულებს ჯანდაცვის დაწესებულებებს, მიიღონ სპეციალური ტექნიკური და ორგანიზაციული ზომები, მათ შორის მონაცემთა დაშიფვრა, წვდომის ლიმიტაცია, რეგულარული რისკ-შეფასება და მონაცემთა გაჟონვის შემთხვევაში კომპეტენტური ორგანოს ინფორმირება. ზემოაღნიშნული პრაქტიკული მაგალითები ნათლად წარმოაჩენს, რომ პაციენტის პერსონალური მონაცემების დაცვა ციფრული ეპოქის პირობებში შეუძლებელია მხოლოდ სამართლებრივი ნორმების არსებობით. საჭიროა ტექნიკური და ორგანიზაციული ზომების ერთობლივი განხორციელება, როგორც სახელმწიფოს, ისე კერძო სამედიცინო დაწესებულებების მიერ.
ზ/აღნიშნულიდან გამომდინარე ნათელია, რომ სამედიცინო დაწესებულებამ იმისათვის რომ უზრუნველყოს პაციენტის პერსონალური მონაცემების დაცვა, უნდა განახორციელოს: მონაცემთა დაშიფვრის (Encryption) სისტემური დანერგვა, როგორც მონაცემთა შენახვისას, ისე მათი გადაცემისას; პერსონალურ მონაცემზე წვდომის მკაცრი კონტროლი, სადაც თითოეულ თანამშრომელს მინიჭებული ექნება მხოლოდ იმ მონაცემებზე წვდომა, რაც აუცილებელია მისი პროფესიული მოვალეობის შესრულებისთვის („need-to-know“ პრინციპი); აუდიტ-ლოგების სისტემური შენახვა, რათა შესაძლებელი იყოს ნებისმიერი წვდომის შემოწმება და უკანონო ქმედების დროული იდენტიფიცირება; პერსონალის რეგულარული ტრენინგი, რომელიც მოიცავს ინფორმირებული თანხმობის მნიშვნელობას, მონაცემთა დაცვის ეთიკას და კიბერუსაფრთხოების პრაქტიკულ ასპექტებს; ინფორმაციული სისტემების რეგულარული ტესტირება და უსაფრთხოების აუდიტი, რომელიც უნდა ჩატარდეს დამოუკიდებელი სპეციალისტების მიერ; პაციენტებისთვის ინფორმირება, კერძოდ, პაციენტებმა უნდა იცოდნენ, სად და როგორ ინახება მათი მონაცემები, რა მიზნებისთვის ხდება მათი დამუშავება და როგორ შეუძლიათ მათი უფლებების განხორციელება, რაც წარმოშობს პაციენტის ნდობას სამედიცინო დაწესებულებისადმი.
გადაუჭარბებლად შეიძლება ითქვას, რომ პაციენტის ნდობა სამედიცინო დაწესებულებების მიმართ დამოკიდებულია არა მხოლოდ მაღალი ხარისხის სამედიცინო მომსახურებაზე, არამედ იმ გარანტიაზეც, რომ მათი პირადი ინფორმაცია დაცულია. სწორედ ამიტომ, მონაცემთა დაცვის სტრატეგია უნდა იქცეს სამედიცინო დაწესებულებების ყოველდღიური საქმიანობის განუყოფელ ნაწილად და არა მხოლოდ ფორმალურ ვალდებულებად.
პერსონალურ მონაცემთა დაცვის სამსახურის მიერ პერიოდულად ხდება სამედიცინო დაწესებულებების შემოწმება. მნიშვნელოვანია აღინიშნოს, პაციენტის პერსონალური მონაცემების დაცვის მიზნებისთვის, პერსონალურ მონაცემთა დაცვის სამსახურის მიერ, თუ რა კატეგორიის დარღვევები იქნა გამოვლენილი. შემოწმებისას დადგინდა, რომ სამედიცინო დაწესებულებებს საკმარისად არ ჰქონდათ მიღებული შესაბამისი ორგანიზაციულ-ტექნიკური ზომები მონაცემთა უსაფრთხოების დასაცავად. მაგალითად, ერთ-ერთი შემოწმების (ინსპექტირების) ფარგლებში დადგინდა, რომ კლინიკის ელექტრონული ფოსტიდან შეცდომით სხვა ელექტრონული ფოსტის მისამართზე არაუფლებამოსილ პირთან გაიგზავნა შეტყობინება, რომელიც შეიცავდა კლინიკის პაციენტების მონაცემებს, მათ შორის – ჯანმრთელობის მდგომარეობასთან დაკავშირებულ ინფორმაციას, რის მიზეზად კლინიკის წარმომადგენელმა მიუთითა უნებლიე, ადამიანურ შეცდომაზე.
გამოვლინდა ჯანმრთელობის დაცვის სექტორში მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემების სამართლებრივი საფუძვლის გარეშე დამუშავების შემთხვევა. კერძოდ, ექიმის მიერ ადგილი ჰქონდა, რამდენიმე მონაცემთა სუბიექტის განსაკუთრებული კატეგორიის მონაცემის (სამედიცინო მომსახურების მიღების შესახებ ინფორმაციის) სოციალურ ქსელ „Facebook“-ზე გამჟღავნებას. ექიმის მიერ სამედიცინო მომსახურების გაწევის ფაქტი დადასტურდა მხოლოდ ერთი მონაცემთა სუბიექტის მიმართ, ხოლო დანარჩენ მონაცემთა სუბიექტებთან მიმართებით შესაბამისი მომსახურების გაწევას ადგილი არ ჰქონია. ექიმის მიერ, სხვა პაციეტის განსაკუთრებული კატეგორიის პერსონალური ინფორმაციის უკანონოდ მოპოვების შედეგად, მის მიერ საჯაროდ ხელმისაწვდომი ფორმით მოხდა სამედიცინო მომსახურების მიღების შესახებ ინფორმაციის განთავსება. ერთ-ერთ სამედიცინო დაწესებულებაში ადგილი ჰქონდა პაციენტის პერსონალურ მონაცემთა გამჟღავნების ფაქტს. კერძოდ, პაციენტი სამედიცინო მომსახურების მიღების მიზნით, იმყოფებოდა კლინიკაში, რა დროსაც კლინიკის თანამშრომელმა შეავსო მისი, როგორც სტაციონარული პაციენტის, სამედიცინო ბარათი. პაციენტმა, სოციალურ ქსელში მისთვის უცნობი პირისაგან მიიღო შეტყობინება თავისი „სტაციონარული პაციენტის სამედიცინო ბარათის“ ფოტოსურათთან ერთად. „სტაციონარული პაციენტის სამედიცინო ბარათის“ პირველი გვერდი (გარეკანი) შეიცავდა განმცხადებლის შემდეგ მონაცემებს: ბარათის ნომერს, პირად ნომერს, სახელს და გვარს, სამედიცინო დაწესებულების დასახელებას, კლინიკაში შემოსვლის თარიღს, სატელეფონო ნომერს, სადაზღვევო კომპანიისა და სტუდენტის სტატუსის შესახებ ინფორმაციას. დადგინდა, რომ კლინიკის თანამშრომლის მიერ გამოვლინდა პაციენტის მონაცემების აშკარა პირადი მიზნით დამუშავება, რადგან კლინიკას არ ჰქონდა შემუშავებული მონაცემთა უსაფრთხოების დაცვის მიზნებისთვის შესაბამისი მექანიზმები. სამედიცინო დაწესებულებებში მნიშვნელოვანი დარღვევები გამოვლინდა ასევე ვიდეო და აუდიომონიტორინგის განხორციელებისას.ერთ-ერთი სამედიცინო დაწესებულება ლაბორატორიული ტესტირებისთვის ბიოლოგიური მასალის ნიმუშების აღებისა და დამუშავებისთვის განკუთვნილ ოთახებში ახორციელებდა ვიდეომონიტორინგს, სამედიცინო პერსონალისთვის დაკისრებული უფლებამოსილებების არაჯეროვანი შესრულების თავიდან აცილებისა და შეცდომების დროული იდენტიფიცირების მიზნით. საკუთრების დაცვის მიზნით ვიდეომონიტორინგი ასევე ხორციელდებოდა რადიოლოგიის კაბინეტშიც. აღნიშნული წარმოადგენს პაციენტის უფლების უხეში დარღვევას, რადგან პაციენტს რომელსაც უტარდება სამედიცინო მანიპულაციები, უნდა ჰქონდეს თავისი პირადი ცხოვრების დაცულობისა და პატივისცემის ლეგიტიმური და გონივრული მოლოდინი; სამედიცინო მომსახურების მიღების პროცესში დამუშავებული მონაცემების სენსიტიური ხასიათის გათვალისწინებით კი განსაკუთრებით მნიშვნელოვანია დაცული იქნეს პაციენტის პირადი ცხოვრების ხელშეუხებლობის უფლება; ხოლო სამედიცინო პროცედურების განხორციელებისთვის განკუთვნილ სივრცეში დამონტაჟებული კამერა პირს უკარგავს კონფიდენციალურობის შეგრძნებას და ზღუდავს მისი ქცევის თავისუფლებას. შემოწმებისას ასევე გამოვლინდა ისეთი დარღვევა, როდესაც სამედიცინო დაწესებულება
ვიდეომონიტორინგს ახორციელებდა პაციენტის მოსაცდელში დაყოვნების დროის კონტროლის, პაციენტთა ნაკადის შემოწმების, კადრის დამატების ან ახალი ფილიალის გახსნის საჭიროების განსაზღვრის მიზნითაც, რადგან დასახელებული მიზნების მიღწევა სამედიცინო დაწესებულებას შეეძლო მოეხდინა ვიდეომონიტორინგის განხორციელების გარეშეც (მაგალითად, ე. წ. „მისტიური მომხმარებლის“ მეშვეობით, პაციენტების კმაყოფილების კვლევის კითხვარით, მომხმარებელთა რაოდენობის ანალიზის საშუალებით და ა. შ.). შესაბამისად, აღნიშნული მიზნებით ვიდეომონიტორინგის განხორციელება არ იქნება მიჩნეული მიზნის ადეკვატურ და პროპორციულ საშუალებად. გამოვლინდა, ისიც რომ ჯანმრთელობის დაცვის მიზნით ღონისძიებების განმახორციელებელი ერთ-ერთი დაწესებულება იმაზე მეტი მოცულობით მოიპოვებდა პაციენტის პერსონალურ მონაცემებს, ვიდრე სჭირდებოდა ლეგიტიმური მიზნის მისაღწევად. საყურადღებოა, რომ არასაჭირო მონაცემების მოპოვება ქმნის მონაცემთა არაპროპორციული მოცულობით დამუშავების საფრთხეს და წარმოადგენს მინიმიზაციის პრინციპის დარღვევას. გამოიკვეთა დაწესებულებებს შორის ხელშეკრულების/შეთანხმების არსებობის გარეშე მონაცემების მიმოცვლის შემთხვევები, რაც ზრდის მონაცემების უკანონო დამუშავების რისკებს. ასევე, სამედიცინო დაწესებულებების თანამშრომლებს საერთო მომხმარებლის სახელითა და პაროლით წვდომა ჰქონდათ ელექტრონულ სისტემებში არსებულ მონაცემებზე. გამოვლინდა არაუფლებამოსილი პირებისთვის მონაცემების გაზიარების შემთხვევებიც.
ისმის კითხვა, როგორ უნდა მოიქცეს პაციენტი, თუ მისი პერსონალური მონაცემები არამართლზომიერად მუშავდება? სამედიცინო დაწესებულების მიერ პაციენტის პერსონალური მონაცემების არამართლზომიერად დამუშავების შემთხვევაში, პაციენტს უფლება აქვს: სამედიცინო დაწესებულებისგან მოითხოვოს პერსონალური მონაცემების მოპოვებისა, შეგროვების, დამუშავების და გასაჯაროების შეწყვეტაზე თუ მონაცემები უკანონოდ მუშავდება ან გადაეცა მესამე პირს. მოითხოვოს მონაცემების, მათ შორის ვიდეო და აუდიო ჩანაწერების წაშლა და განადგურება (მათ შორის უკანონოდ მოპოვებული ან დამუშავებული ინფორმაციის წაშლა), მოითხოვოს ინფორმაციის დადგენა ან ჩასწორება, თუ მონაცემები არაზუსტია. აღნიშნული უფლების რეალიზება პაციენტმა უნდა განახორციელოს სამედიცინო დაწესებულების მიმართ წერილობითი მოთხოვნის წარდგენის გზით. პაციენტს შეუძლია მოითხოვოს ზიანის ანაზღაურება თუ მონაცემთა დარღვევამ გამოიწვია მორალური ან მატერიალური ზიანი, სასამართლოში სარჩელის შეტანის გზით.
ამრიგად, პაციენტის პერსონალური მონაცემების დაცვა თანამედროვე სამართლებრივი სახელმწიფოს ერთ-ერთ მთავარ გამოწვევად იქცა. პირადი ცხოვრების ხელშეუხებლობის უფლება, რომელიც ადამიანის ფუნდამენტური უფლებების სისტემაში განსაკუთრებულ ადგილს იკავებს, მოითხოვს არა მხოლოდ სამართლებრივი რეგულაციების მიღებას, არამედ მათი ეფექტიანი განხორციელების უზრუნველყოფასაც. საქართველოს კონსტიტუცია, „პერსონალურ მონაცემთა დაცვის შესახებ“ კანონი და ჯანმრთელობის დაცვის სფეროს სპეციალური კანონმდებლობა ქმნის მნიშვნელოვან სამართლებრივ ბაზისს პაციენტის მონაცემთა კონფიდენციალურობის დასაცავად. თუმცა, სამართლებრივი ნორმების ეფექტიანობა მხოლოდ იმ შემთხვევაში იქნება რეალური, თუ მათთან ერთად შემუშავდება პრაქტიკული და ტექნოლოგიური მექანიზმები.
ციფრული ეპოქის პირობებში, პაციენტის მონაცემთა უსაფრთხოება მხოლოდ ეროვნული სამართლებრივი ჩარჩოებით ვერ იქნება გარანტირებული. მონაცემთა გაჟონვის, კიბერშეტევებისა და ინსაიდერული საფრთხეების რეალური მაგალითები როგორც საქართველოს, ისე საერთაშორისო პრაქტიკაში ადასტურებს, რომ ჯანმრთელობის შესახებ ინფორმაციის უკანონო დამუშავება იწვევს არა მხოლოდ სამართლებრივ დარღვევას, არამედ პაციენტის ღირსების შელახვას, დისკრიმინაციისა და სტიგმატიზაციის რისკებსაც. სწორედ ამიტომ, პერსონალური მონაცემების დაცვა უნდა იქცეს არა მხოლოდ იურიდიულ, არამედ ეთიკურ და ტექნოლოგიურ პრიორიტეტადაც.
საქართველოსთვის აუცილებელია საერთაშორისო სტანდარტების იმპლემენტაცია, განსაკუთრებით GDPR-ისა და სხვა თანამედროვე რეგულაციების გათვალისწინებით. სახელმწიფომ, სამედიცინო დაწესებულებებმა და პროფესიულმა ასოციაციებმა უნდა ითანამშრომლონ კოორდინირებულად, რათა შეიქმნას ძლიერი კიბერუსაფრთხოების სისტემა, დაწესდეს მკაფიო პასუხისმგებლობის მექანიზმები და გაძლიერდეს როგორც პერსონალის, ისე პაციენტების ცნობიერება. პაციენტის ნდობა ექიმისა და სამედიცინო სისტემის მიმართ ეფუძნება რწმენას, რომ მათი პირადი ინფორმაცია დაცულია. თუ ეს ნდობა შეირყა, საფრთხის ქვეშ დადგება არა მხოლოდ ინდივიდის უფლება, არამედ ჯანდაცვის სისტემის ფუნქციონირების ეფექტიანობაც. აქედან გამომდინარე, პერსონალური მონაცემების დაცვა უნდა აღქმულ იქნას როგორც სამართლებრივი, ეთიკური და ტექნოლოგიური ერთიანობის შედეგი, რომელიც პაციენტის უფლებებისა და თანამედროვე საზოგადოებაში ადამიანის ღირსების დაცვის მთავარი გარანტიაა.
