პერსონალურ მონაცემთა დაცვის პოლიტიკა
პრეამბულა
შპს „სინევო საქართველოს“ (შემდგომ – „ორგანიზაცია“) პერსონალური მონაცემების დამუშავებისას იცავს ადამიანის ძირითად უფლებებსა და თავისუფლებებს, მათ შორის პირადი ცხოვრების, პირადი სივრცისა და კომუნიკაციის ხელშეუხებლობას.
ორგანიზაცია, როგორც სამედიცინო/ჯანმრთელობის სერვისების მიმწოდებელი, ახორციელებს პაციენტთა რეგისტრაციის, დიაგნოსტიკისა და მკურნალობის, ლაბორატორიულ-ინსტრუმენტული კვლევების, სამედიცინო ჩანაწერების მართვის, ჩანიშვნების, ბილინგისა და სადაზღვევო დოკუმენტბრუნვის პროცესებს და განსაკუთრებულ ყურადღებას უთმობს პაციენტთა, თანამშრომელთა და პარტნიორთა მონაცემთა დაცვას, მათ შორის ჯანმრთელობის (განსაკუთრებული კატეგორიის) მონაცემებს.
წინამდებარე პოლიტიკა განსაზღვრავს ძირითად ღონისძიებებს, რომლითაც ორგანიზაცია უზრუნველყოფს პერსონალური მონაცემთა დამუშავების პროცესების შესაბამისობას „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონთან (შემდგომ – „კანონი“) და იცავს მონაცემთა სუბიექტთა კანონიერ უფლებებს.
მუხლი 1. მოქმედების სფერო
ეს პოლიტიკა ვრცელდება ორგანიზაციის მიერ პერსონალური მონაცემების (შემდგომ – „მონაცემები“) დამუშავების ყველა პროცესზე, მათ შორის:
- პაციენტთა იდენტიფიკაციასა და ჩაწერებზე;
- მომსახურების სრულ ციკლზე (დიაგნოსტიკა, ლაბორატორიული/ინსტრუმენტული კვლევები, ელექტრონული სამედიცინო ჩანაწერები – EMR);
- ხარისხის მართვასა და კლინიკურ აუდიტზე/სატესტო კონტროლზე;
- ფინანსურ და ბუღალტრულ ოპერაციებზე, მათ შორის ბილინგსა და სადაზღვევო სქემებზე/კლიემებზე მოთხოვნების დამუშავებაზე;
- რისკების მართვაზე და თაღლითობის პრევენციაზე (მათ შორის IT/კიბერუსაფრთხოება);
- ციფრული პლატფორმების, პორტალებისა და მობილური აპლიკაციის გამოყენებაზე;
- ვიდეომონიტორინგის განხორციელებაზე უსაფრთხოების მიზნებისთვის;
- შრომით-სამართლებრივი ურთიერთობის მართვასა და რეკრუტინგზე;
- ქვე-კონტრაქტორებთან ურთიერთობაზე.
მუხლი 2. ტერმინთა განმარტება
ამ პოლიტიკაში გამოყენებულ ტერმინებს აქვთ კანონით განსაზღვრული მნიშვნელობა.
მუხლი 3. მონაცემთა დამუშავების პრინციპები
- ორგანიზაცია მონაცემებს ამუშავებს კანონის შესაბამისად, კანონით განსაზღვრული მონაცემთა დამუშავების საფუძვლის არსებობის პირობებში და შემდეგი პრინციპების დაცვით:
ა) მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, გამჭვირვალედ და მონაცემთა სუბიექტის ღირსების შეულახავად;
ბ) მონაცემები უნდა შეგროვდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნისთვის და არ უნდა იქნეს გამოყენებული ამ მიზნებთან შეუთავსებლად;
გ) მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად („მინიმიზაცია“);
დ) მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული;
ე) მონაცემები უნდა ინახებოდეს მხოლოდ იმ ვადით, რაც აუცილებელია შესაბამისი მიზნების მისაღწევად, ან კანონით დადგენილი ვადებით;
ვ) მონაცემების არამართლზომიერი დამუშავებისაგან დასაცავად უნდა ამოქმედდეს შესაბამისი ტექნიკური და ორგანიზაციული ზომები, განსაკუთრებით ჯანმრთელობის მონაცემებზე.
- ორგანიზაცია უზრუნველყოფს მონაცემების დამუშავების ისეთ ორგანიზებას, რომ შეძლოს ზემოაღნიშნული პრინციპებთან შესაბამისობის დასაბუთება.
მუხლი 4. კანონიერად დამუშავების უზრუნველმყოფი ძირითადი ღონისძიებები
მონაცემების წინამდებარე პოლიტიკის მე-3 მუხლის შესაბამისად დამუშავებისთვის, ორგანიზაცია:
ა) მონაცემების უსაფრთხოების უზრუნველსაყოფად იღებს საფრთხეების შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს: როლებზე დაფუძნებული წვდომები (RBAC), ავთენტიკაცია/აუდიტ-ლოგირება, დაშიფვრა/პსევდონიმიზაცია (საჭიროების შემთხვევაში), სარეზერვო ასლების შენახვა, ქსელური სეგმენტაცია; განსაზღვრავს თითოეული ინფორმაციული აქტივის მფლობელს და უზრუნველყოფს წვდომების კონტროლს, რათა თავიდან აიცილოს უნებართვო წვდომა პერსონალურ და განსაკუთრებით ჯანმრთელობის მონაცემებზე;
ბ) უზრუნველყოფს თანამშრომელთა პერიოდულ გადამზადებას მონაცემთა დაცვის, სამედიცინო კონფიდენციალურობისა და ინფორმაციული უსაფრთხოების წესებში;
გ) ინციდენტის აღმოჩენისას უზრუნველყოფს დაუყოვნებელ რეაგირებას, ზიანის შემცირებას/აღმოფხვრას, ინციდენტის დადგენილ წესით აღრიცხვასა და საჭიროებისამებრ მონაცემთა სუბიექტისა და/ან ზედამხედველი ორგანოს ინფორმირებას;
დ) გამჭვირვალობის პრინციპით საჯაროდ აქვეყნებს ინფორმაციას ძირითადი დამუშავების პროცესებზე. საჭიროების შემთხვევაში გამოიყენებს დამატებით არხებს პაციენტთა ინფორმირებისთვის (კლინიკაში ბანერები/ბუკლეტები, SMS/e-mail შეტყობინებები);
ე) თანამშრომელთა ინფორმირებისთვის ხელმისაწვდომად ათავსებს შიდა დოკუმენტებს მათი მონაცემების დამუშავების შესახებ;
ვ) უზრუნველყოფს მონაცემთა სუბიექტთა უფლებებზე დროულ და ჯეროვან რეაგირებას;
ზ) საჭიროების შემთხვევაში ახორციელებს მონაცემთა დაცვაზე ზეგავლენის შეფასებას (DPIA);
თ) ყველა პროდუქტში, პროექტსა და მომსახურებაში ითვალისწინებს „პრაივასი დიზაინით/ნაგულისხმევად“ პრინციპებს;
ი) კანონის შესაბამისად აწარმოებს დამუშავების აღრიცხვას (ROPA), მათ შორის მიზნებს, კატეგორიებს, ვადებსა და მიმღებთა კატეგორიებს;
კ) დამუშავებაზე უფლებამოსილ პირებთან ურთიერთობისას მოქმედებს სამართლებრივი აქტით/წერილობითი შეთანხმებით, სადაც მკაფიოდ განსაზღვრავს დამუშავების საფუძვლებსა და მიზნებს, მონაცემთა კატეგორიებს (მაგ., სახელი, საკონტაქტო ინფორმაცია, სამედიცინო ჩანაწერის ამონაწერი, გადახდის/სადაზღვევო დეტალები), დამუშავების ვადებს, კონფიდენციალურობის ვალდებულებებსა და უსაფრთხოების ზომებს; საზღვარგარეთ გადაცემისას იცავს კანონით დადგენილ წესებს;
ლ) ახორციელებს სხვა შესაბამის ზომებს, მათ შორის, საჭიროების შემთხვევაში მონაცემთა ანონიმიზაციას სტატისტიკური/კვლევითი მიზნებისთვის კანონის შესაბამისად.
მუხლი 5. აღსრულება
- წინამდებარე პოლიტიკის მე-4 მუხლით გათვალისწინებული ღონისძიებების უზრუნველსაყოფად ორგანიზაცია ამზადებს დამატებით წერილობით დოკუმენტებს (შიდა წესები, ინციდენტზე რეაგირების გეგმა, შენახვის ვადების მატრიცა და სხვ.) და იღებს შესაბამის ზომებს.
- ორგანიზაციაში რისკების იდენტიფიკაციისა და სათანადო ღონისძიებების კოორდინირების მიზნით:
ა) პერსონალურ მონაცემთა დაცვის ოფიცერი – ახორციელებს მონაცემთა დამუშავების პროცესების კანონთან და წინამდებარე პოლიტიკასთან შესაბამისობის მონიტორინგს, იძლევა რეკომენდაციებს და მონაწილეობს DPIA-სა და ინციდენტების მართვაში;
ბ) ინფორმაციული აქტივების მფლობელები – უზრუნველყოფენ მათ მფლობელობაში არსებული მონაცემების შემცველი აქტივების კანონთან და პოლიტიკასთან შესაბამისობას;
გ) სამედიცინო სამსახური/კლინიკური ხელმძღვანელები – პასუხისმგებელნი არიან სამედიცინო ჩანაწერების სიზუსტეზე, ხელმისაწვდომობის შეზღუდვაზე „საჭირო ცოდნის“ პრინციპით და სამედიცინო კონფიდენციალურობის დაცვაზე.
მუხლი 6. გადახედვა
ეს პოლიტიკა გადაიხედება, სულ მცირე, წელიწადში ერთხელ და საჭიროების შემთხვევაში შეიცვლება ორგანიზაციის ტექნოლოგიური, ოპერაციული ან სამართლებრივი გარემოს განახლების შესაბამისად, მათ შორის თანმდევი დოკუმენტების/პროცედურების განახლებით.
დანართი 1
თანხმობა პერსონალურ მონაცემთა დამუშავების თაობაზე
წინამდებარე პერსონალურ მონაცემთა დამუშავების თაობაზე თანხმობის გაცემით, სამედიცინო მომსახურების გაწევის, მომსახურების მაღალი ხარისხის უზრუნველყოფისა და ასევე, ხარისხის გაუმჯობესების, სახელშეკრულებო და კანონისმიერი ვალდებულებების შესრულების მიზნით, თქვენ, როგორც პაციენტი, ადასტურებთ თქვენ წინასწარ თანხმობას კომპანიის წინაშე და ანიჭებთ მას უფლებას შემდეგზე:
კომპანიის მიერ დამუშავებული იქნას პაციენტის პერსონალური, მათ შორის, ჯანმრთელობის, ჩატარებული მკურნალობის შესახებ ინფორმაცია. წინამდებარე დოკუმენტზე ხელმოწერით კომპანიას ენიჭება უფლებამოსილება: დაამუშაოს პაციენტის და/ან მისი მკურნალობის და/ან წარმომადგენლის შესახებ კომპანიაში მომსახურების მიღების მიზნით მიღებული პერსონალური ინფორმაცია, მათ შორის, პროგრამული უზრუნველყოფის (ავტომატური და/ან ნახევრად ავტომატური დამუშავების) გამოყენებით, როგორც თავისი უშუალო თანამშრომლების/მედ. პერსონალის, ისე – მოწვეული პირების და ასევე, თავისი კონტრაქტორების მეშვეობით, მათ შორის, იმ კონტრაქტორების, რომლებიც პირდაპირ ან არაპირდაპირ შემხებლობაში არიან პაციენტისათვის მომსახურების ან მისი რომელიმე ნაწილის გაწევასთან და/ან ხარისხიანი მომსახურების მიღებასთან (მაგ.: პაციენტის მომსახურე სადაზღვევო კომპანია და სხვა). ამასთან, ამგვარი უნდა განხორციელდეს მოქმედი კანონმდებლობის მოთხოვნათა შესაბამისად იმ მოცულობით და ფარგლებში, რაც საჭიროა მომსახურების გასაწევად, რაიმე დამატებითი თანხმობის მიღების გარეშე.
მონაცემთა დამუშავება მოიცავს კომპანიის მიერ შესრულებულ ნებისმიერ მოქმედებას, მათ შორის, მონაცემთა შეგროვებას, მოპოვებას, წვდომას, ფოტოგადაღებას, ვიდეოთვალთვალსა ან/და აუდიომონიტორინგს, ორგანიზებას, დაჯგუფებას, ურთიერთდაკავშირებას, შენახვას, შეცვლას, აღდგენას, გამოთხოვას, გამოყენებას, დაბლოკვას, წაშლასა ან განადგურებას, ასევე, მონაცემთა გამჟღავნებას, მათი გადაცემის, გასაჯაროების, გავრცელების ან სხვაგვარად ხელმისაწვდომად გახდომის გზით. კომპანიის მიერ მონაცემები დამუშავდება მხოლოდ იმ მიზნით, რა მიზნისთვისაც იგი შეგროვდა და/ან კანონმდებლობით იქნა/არის გათვალისწინებული.
პაციენტის პერსონალური ინფორმაციის გადაცემა მესამე პირებზე (გარდა ზემოაღნიშნული პირებისა), კერძოდ, სახელმწიფო, მარეგულირებელი ორგანოები, მომსახურების ან მისი ნაწილის დამფინანსებელი პირები, სამართალდამცავი ორგანოები და სხვა, განხორციელდება კანონმდებლობით დადგენილი წესით. აღნიშნული ინფორმაცია შესაძლოა გადაცემული იქნას კანონმდებლობით პირდაპირ გაუთვალისწინებელ შემთხვევებშიც, კანონიერი ინტერესების დასაცავად, გონივრული საჭიროებიდან და/ან მოთხოვნის არსიდან გამომდინარე;
კომპანიის მომსახურებით სარგებლობისას, ასევე მისი შეწყვეტის შემდგომ, კომპანიის მიერ პაციენტის პერსონალური ინფორმაციის განსაზღვრული მიზნებით დამუშავება გაგრძელდება იმ ვადით, რომელიც შეესაბამება სამედიცინო მომსახურების მიზნებს და/ან მოთხოვნილია მარეგულირებელი ორგანოების მიერ ან/და გათვალისწინებულია კანონმდებლობით.
თქვენ ასევე აცხადებთ თანხმობას მასზედ, რომ თქვენი პერსონალური მონაცემები დამუშავებულ იქნას პირდაპირი მარკეტინგის მიზნებისათვისაც კანონმდებლობით ნებადართულ ფარგლებში და წესით.
თქვენ ადასტურებთ, რომ მიღებული გაქვთ სრული და ამომწურავი ინფორმაცია საქართველოს კანონმდებლობით გათვალისწინებული თქვენი უფლებების შესახებ, მათ შორის, იმის შესახებ, რომ თქვენი მოთხოვნის შემთხვევაში, მონაცემთა დამმუშავებელი ვალდებულია გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები, თუ ისინი არასრულია, არაზუსტია, არ არის განახლებული, ან თუ მათი შეგროვება და დამუშავება განხორციელდა კანონის საწინააღმდეგოდ.
შპს „სინევო საქართველო“-ში პერსონალურ მონაცემთა დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე შეგიძლიათ დაგვიკავშირდეთ შემდეგ ელექტრონული ფოსტის მისამართზე: info@synevo.ge
