Как GDPR относится к данным о здоровье?

GDPR классифицирует данные, касающиеся здоровья, как особую категорию, подлежащую дополнительным условиям для законной обработки, помимо общих принципов, таких как законность, ограничение цели, минимизация данных и подотчетность, и предоставляет физическим лицам подлежащие исполнению права в отношении их данных.

Почему обмен данными о здоровье через границы сложен?

Юрисдикции по-разному защищают данные о здоровье и налагают свои собственные условия на передачу персональных данных за границу. Поэтому трансграничный обмен зависит от таких механизмов, как решения об адекватности или договорные гарантии, и организации должны согласовывать несколько правовых режимов, что определяется действующим законодательством, а не общими резюме.

Международные правила и управление данными о здоровье

Международные правила и управление данными о здоровье касаются совокупности национальных и региональных законов, которые защищают медицинскую информацию, а также институциональных механизмов, обеспечивающих ответственное использование этой информации через границы. Поскольку данные о здоровье все чаще используются для оказания медицинской помощи, исследований и аналитики, охватывающих различные юрисдикции, организации должны согласовывать различные правовые режимы, в частности Общий регламент ЕС по защите данных и секторальную систему США, а также создавать структуры управления для регулирования прав, рисков и подотчетности.

Найти тему в PaperMindСкороFind papers & topics

Tools & resources

Скачать слайды

Learn & explore

ВидеоСкоро

Definition

Международное регулирование и управление данными о здоровье — это совокупность законов, принципов и институциональных механизмов, которые регулируют сбор, использование, обмен и трансграничную передачу медицинской информации между различными юрисдикциями, а также структуры подотчетности, обеспечивающие законность, прозрачность и надежность такого обращения.

Scope

Эта статья рассматривает основные регуляторные модели и их различия (комплексные по сравнению с секторальными подходами), особый режим, который обычно применяется к данным о здоровье как к чувствительной категории, правовые основы и ограничения на трансграничную передачу, а также механизмы управления (надзорные органы, подотчетность, прозрачность), которые реализуют эти правила, в том числе для новых видов использования, таких как искусственный интеллект. Это справочный и образовательный материал по общим положениям и концепциям, а не юридическая консультация или определение соответствия для какой-либо конкретной юрисдикции или передачи.

Core questions

Чем отличаются комплексные и секторальные подходы к защите данных?
Почему данные о здоровье обычно рассматриваются как особая, более защищенная категория?
Какие правовые основания и гарантии регулируют трансграничную передачу данных о здоровье?
Какие структуры управления поддерживают ответственное использование данных о здоровье?
Как системы управления адаптируются к интенсивному использованию данных, например, в искусственном интеллекте?

Key concepts

Комплексное против секторального регулирования
Данные особой категории (чувствительные)
Законное основание для обработки и согласие
Права субъекта данных
Механизмы трансграничной передачи и адекватность
Минимизация данных и ограничение цели
Подотчетность и защита данных по замыслу
Управление данными и надзор

Mechanisms

Юрисдикции регулируют данные о здоровье с помощью различных стратегий. Комплексные режимы, такие как Общий регламент ЕС по защите данных, применяют общие принципы защиты данных, включая законность, ограничение цели, минимизацию данных и подотчетность, ко всем персональным данным и предоставляют физическим лицам подлежащие исполнению права, при этом рассматривая данные о здоровье как особую категорию, подлежащую повышенным условиям (Cornock, 2018). Секторальные режимы, такие как режим Соединенных Штатов, регулируют конкретные области, при этом HIPAA охватывает определенных субъектов здравоохранения, а другие правила охватывают другие сектора (Nass et al., 2009). Когда данные пересекают границы, механизмы передачи (такие как решения об адекватности или договорные гарантии) определяют, может ли и как они перемещаться. Помимо законодательства, структуры управления, надзорные органы, обязательства по прозрачности и требования к подотчетности воплощают принципы в практику; они все чаще распространяются на приложения, интенсивно использующие данные, такие как искусственный интеллект, где предлагаемые модели управления подчеркивают справедливость, прозрачность и надзор (Reddy et al., 2020).

Clinical relevance

Различия между национальными режимами влияют на то, могут ли и как системы здравоохранения и исследователи обмениваться данными на международном уровне для координации медицинской помощи, многоцентровых исследований и аналитики, а механизмы управления формируют доверие, от которого зависит такой обмен. Эта статья описывает регуляторную среду и концепции управления для справки и образования; она не является юридической консультацией и не определяет соответствие для какой-либо конкретной организации, передачи или юрисдикции.

Evidence & guidelines

Основная нормативная база содержится в самих регуляторных документах, в частности в Регламенте (ЕС) 2016/679 (GDPR) и, в Соединенных Штатах, в HIPAA и связанных с ним секторальных правилах. Комментарии объясняют их последствия для исследований и практики (Cornock, 2018; Nass et al., 2009), а новые модели управления касаются новых приложений, таких как искусственный интеллект (Reddy et al., 2020). Поскольку режимы различаются в зависимости от юрисдикции и периодически пересматриваются, для любого конкретного определения требуются текущие официальные правовые источники и квалифицированная юридическая консультация.

History

Современное законодательство о защите данных выросло из принципов, сформулированных в 1970-х и 1980-х годах, включая руководящие принципы ОЭСР по конфиденциальности, которые повлияли на более поздние законы. Европа кодифицировала комплексный подход в Директиве о защите данных 1995 года, замененной в 2018 году Общим регламентом по защите данных, который усилил индивидуальные права и экстерриториальное действие (Cornock, 2018). Соединенные Штаты вместо этого разработали секторальную систему, при этом HIPAA конкретно регулирует медицинскую информацию (Nass et al., 2009). По мере глобализации потоков данных и развития аналитики дебаты об управлении расширились, охватив трансграничную передачу и ответственное использование искусственного интеллекта (Reddy et al., 2020).

Debates

Комплексное против секторального регулирования данных о здоровье: Комплексные режимы применяют единые принципы ко всем персональным данным и рассматривают данные о здоровье как защищенную особую категорию, тогда как секторальные режимы регулируют определенные области; наблюдатели расходятся во мнениях относительно того, какой подход лучше всего балансирует между надежной защитой, ясностью и возможностью использования данных для ухода и исследований.

Seminal works

cornock-2018
nass-2009

Frequently asked questions

Как GDPR относится к данным о здоровье?: GDPR классифицирует данные, касающиеся здоровья, как особую категорию, подлежащую дополнительным условиям для законной обработки, помимо общих принципов, таких как законность, ограничение цели, минимизация данных и подотчетность, и предоставляет физическим лицам подлежащие исполнению права в отношении их данных.
Почему обмен данными о здоровье через границы сложен?: Юрисдикции по-разному защищают данные о здоровье и налагают свои собственные условия на передачу персональных данных за границу. Поэтому трансграничный обмен зависит от таких механизмов, как решения об адекватности или договорные гарантии, и организации должны согласовывать несколько правовых режимов, что определяется действующим законодательством, а не общими резюме.