欧洲委员会(CoE)最近发布了 建议 关于保护与健康相关的数据的成员国(建议)。该建议书指导成员国确保其法律和惯例反映处理健康相关数据的原则。

这些建议源于第108号公约,它是数据保护领域的第一个国际条约。像《 2016/679通用数据保护条例》(GDPR)一样,第108号公约规定了处理健康数据的原则,但所包含的选项却少于GDPR。该建议书有关健康数据的原则与GDPR一致,但在某些情况下提供了有关处理健康相关数据的更多指导。

有关处理某些与健康相关的数据的一些关键建议如下。

  • 处理基础: 处理与健康有关的数据应“必要且相称”。 CoE使108号公约的方法与GDPR保持一致。第108号公约要求只能基于同意书或建议书附录第二章中规定的合法目的之一来处理与健康相关的数据。
  • 胎儿的数据: 应适当保护未出生婴儿的健康相关数据。这符合欧洲数据保护委员会的建议。
  • 遗传数据: 只有在适当的保护措施到位的情况下,才能处理遗传数据。该建议书指出了遗传数据处理受到限制的一些情况。这些情况包括就业情况;为了司法程序或调查目的;并出于保险目的。
  • 共享与健康相关的数据: 为了提供和管理医疗服务而共享与健康相关的数据时,告知个人的方法与GDPR一致。这包括个人撤回同意的可能性,其中同意是处理的基础。共享数据的接收者应遵守与医疗保健专业人员相同的保密标准。除用于提供和管理医疗服务以外,出于次要目的共享的与健康相关的数据应与依法授权访问该数据的收件人共享。与GDPR规定的个人数据相比,欧洲委员会对与健康相关的数据采取的立场更为严格。根据GDPR,如果主题对象同意转移其个人数据,则第三方可以接收个人数据。该建议书还要求,与健康有关的数据的接收者应与医疗保健专业人员一样遵守相同的保密标准。
  • 安全: CoE引入了可审计性的概念。该建议书还规定了如何根据技术发展情况定期审查安全措施。有趣的是,它明确涉及移动设备。就提供给个人的信息和该数据的安全性而言,在移动设备上收集的与健康相关的数据应与其他与健康相关的数据具有相同的法律保护。该建议书要求移动设备必须提供 “人员身份验证和数据传输加密”.
  • 个人权利: GDPR关于个人权利的一些但不是全部条款已纳入第108号公约。该建议书列出了要提供给个人的信息的清单更为有限,并允许在收集点之后提供这些信息。 。个人应有权不被告知处理其健康相关数据的任何结果。个人退出科学研究项目时,应被告知他们的数据将被破坏或匿名化,以保持研究的科学有效性。个人有权被告知构成其数据处理基础的理由。如果涉及性能分析,这尤其重要。

评论

尽管不具有约束力,但该建议书对成员国在实施其有关健康相关数据的国家法律时可能采取的方法提供了有用的见解,并且可以为处理与健康相关的数据设定标准。我们将密切关注这些事态发展。