Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali  trahvis 239 000 euroga kalmistuid haldavat ettevõtet, kes võimaldas loodete haudade kaudu nimeliselt tuvastada aborti teinud naised.

Järelevalveasutuseni jõudis meedia kaudu teave, et mõnedel Rooma kalmistutel on eraldatud ala, kuhu maetakse „viljastumise tulemused“ ja „looted“ ning millel asuvale ristile kantakse aborti teinud naise nimi. Erinevalt muudest matmisaladest, kuhu matmisel korraldati matusetalitus, toimus neile aladele matmine kohaliku terviseameti soovil ning ilma vastava talituseta.

Järelevalveasutuse menetlus jagunes kolmeks suunaks – esiteks algatati menetlus kohaliku terviseameti (ASL), teiseks kalmistuid haldava munitsipaalomandis oleva ettevõtte (AMA) ja kolmandaks Rooma linna kui munitsipaalettevõtte omaniku suhtes. Menetluse käigus sedastati, et tulenevalt Rooma linnaga sõlmitud teenuse osutamise lepingust on ettevõtte puhul tegu volitatud töötlejaga GDPR artikli 28 tähenduses.

Menetluse käigus tuvastas järelevalveasutus, et munitsipaalettevõte kui ema isikuandmete (nime) volitatud töötleja eiras Rooma linna kui vastutava töötleja suuniseid ning rikkus seega GDPR artiklit 29. Kuivõrd eiramise tulemusena määras munitsipaalettevõte ise isikuandmete töötlemise eesmärgid ja vahendid, saab teda seega pidada vastutavaks töötlejaks.

Järelevalveasutus rõhutas, et andmed abordi kohta on terviseandmed ning iseeneselik või terviseriskide tõttu läbiviidud tahtlik abort on Itaalia õigusruumis käsitletav haigusena. Itaalia vastav regulatsioon kohustab tagama range konfidentsiaalsuse ning kaitsma naiste õiguse anonüümsusele. Tervishoiutöötajate poolne naise isiku avalikustamine on sellesama regulatsiooni alusel kriminaalkorras karistatav.

Järelevalveasutus rõhutas, et mitte ükski õigusakt ei näe ette aborti teinud naise nime kirjutamist loote hauale. Vastutaval töötlejal lasub kohustus tagada, et haual oleks nähtav üksnes kood, mille abil kalmisturegister loote tema vanematega seostab.

Järelevalveasutus tõi välja, et tundlike (eriliigiliste) isikuandmete edastamisel haiglatest terviseametisse ja sealt edasi kalmistutele tuleb rakendada kõikvõimalikke meetmeid. Näiteks peaks minimaalsuspõhimõtte järgimine tagama, et terviseametid ei lisaks naise andmeid kalmistu administratsioonile saadetavatesse transpordidokumentidesse ja matmislubadesse. Terviseametid peavad naise isiku tuvastamise vältimiseks kasutama tehnilisi (nt pseudonüümimine ja krüpteerimine) ja/või organisatoorseid meetmeid.

Järelevalveasutuse otsuse kohaselt rikuti GDPR artikleid 28, 29 ja 32.

Artikli kirjutamisel kasutatud allikas:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9900826