Франция: Уполномоченный орган по вопросам защиты персональных данных CNIL опубликовал стандарт для хранилищ медицинских данных

Данная новость была опубликована 22 ноября 2021 года на сайте Buzz e sante -  веб-портале по тематике цифрового здравоохранения.

Мой комментарий: французская Национальная комиссия по информатике и свободам граждан CNIL (Commission nationale de l'informatique et des libertés, http://www.cnil.fr/ является национальным уполномоченным органом по вопросам защиты персональных данных.

Реагируя на проблему управления данными о здоровье (données de santé), Национальная комиссия по информатике и свободам граждан CNIL публикует стандарт, который должен упростить процедуры создания хранилищ данных о здоровье (медицинских данных).

Давайте начнём с того, что вспомним, что представляют собой хранилища данных о здоровье: это базы данных, предназначенные, в частности, для использования в интересах научных исследований, в обучении или для оценок в сфере здравоохранения. Примерами могут служить Хранилище медицинских данных (l’Entrepôt de Données de Santé, EDS) Объединения государственных больниц Парижа (Assistance Publique - Hôpitaux de Paris, AP-HP) или же платформа данных по онкологии Национального института рака (l’Institut National du Cancer).

Чтобы упростить процедуры для лиц, несущих ответственность за эти конфиденциальные базы данных, одновременно обеспечивая при этом строгую правовую и техническую базу, CNIL начала 8 марта 2021 года публичное обсуждение проекта стандарта. По завершении этого обсуждения, в которой приняли участие около сорока заинтересованных сторон, CNIL утвердила текст документа, учитывающий поступившие замечания и предложения.

(С) Adobe Stock

CNIL отмечает, что «стандарт даёт возможность организациям, желающим создать хранилище данных в соответствии с ним, не запрашивать предварительное разрешение у CNIL: после проверки проекта хранилища на соответствие требованиям стандарта, организация может сделать заявление о соответствии. На внутреннем уровне, организация, ответственная за такую обработку, должна задокументировать своё соответствие требованиям европейского закона о защите персональных данных GDPR и данному стандарту в своем реестре операций по обработке.»

Типы хранилищ, охватываемые стандартом

Стандарт для хранилищ применимо только в отношении хранилищ медицинских данных, позиционируемых как выполняющие представляющую общественный интерес миссию, в смысле статьи 6.1 закона GDPR (эта статья определяет законные основания для обработки персональных данных; и, в данном случае, имеется в виду подпункт (e) «обработка, необходимая для выполнения задачи, решаемой в интересах общества», при этом получения согласия субъекта персональных данных не требуется - Н.Х.), - подчёркивает CNIL.

«Хранилище должно быть необходимо для выполнения задачи в общественных интересах или для исполнения государственных полномочий, возложенных ответственный за обработку на орган или организацию. Стандарт может быть применим в отношении частных медицинских учреждений, создающих хранилища медицинских данных, необходимые для выполнения общественно-значимой миссии. Иначе обстоит дело с хранилищами, созданными частными компаниями в исследовательских целях, когда, например, не имеет места выполнение задачи, представляющей общественный интерес, и законность обработки основана на пп. 6.1(f) закона GDPR (это обработка, необходимая для реализации законных интересов оператора или третьей стороны, не нарушающая фундаментальных прав и свобод субъектов персональных данных – Н.Х.).»

Хранилищам медицинских данных, которые не попадают в область применимости стандарта, комиссия CNIL рекомендует обратиться к ней с запросом на получение индивидуальной авторизации на создание хранилища.

Обратите внимание, что заявление о соответствии стандарту покрывает только создание хранилища. «В случае повторного использования данных из хранилища в контексте научных исследований, образования или оценок в сфере здравоохранения, должно быть выполнены отдельные формальные процедуры (например, взято обязательство соблюдать эталонные методологии или запрошено разрешение на проведение исследований)», - отмечает CNIL.

Познакомиться с текстом стандарта можно здесь: https://www.cnil.fr/sites/default/files/atoms/files/referentiel_entrepot.pdf

Мой комментарий: Название 17-страничного документа следующее – «Стандарт обработки персональных данных, собранных с целью создания хранилищ данных в сфере здравоохранения» (Référentiel relatif aux traitements de données a caractère personnel mis en œuvre a des fins de création d'entrepôts de données dans le domaine de la santé). Его содержание следующее:

1. Кому адресован этот стандарт?
2. Область применения стандарта
3. Цели обработки персональных данных и управление хранилищем
4. Правовая основа для обработки
5. Персональные данные, которые могут быть размещены в хранилище
6. Доступ к информации
7. Сроки хранения
8. Информирование субъектов персональных данных
9. Права человека
10. Безопасность
11. Субподрядчики
12. Передача данных за пределы Европейского Союза
13. Оценка воздействия на защиту персональных данных

Источник: сайте Buzz e sante
https://buzz-esante.fr/la-cnil-publie-un-referentiel-sur-les-entrepots-de-donnees-de-sante/