GDPR ปฏิบัติต่อข้อมูลสุขภาพอย่างไร?

GDPR จัดประเภทข้อมูลที่เกี่ยวข้องกับสุขภาพเป็นข้อมูลประเภทพิเศษที่อยู่ภายใต้เงื่อนไขเพิ่มเติมสำหรับการประมวลผลที่ชอบด้วยกฎหมาย นอกเหนือจากหลักการทั่วไป เช่น ความชอบด้วยกฎหมาย การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล และความรับผิดชอบ และให้สิทธิที่บังคับใช้ได้แก่บุคคลเหนือข้อมูลของตน

เหตุใดการแบ่งปันข้อมูลสุขภาพข้ามพรมแดนจึงซับซ้อน?

เขตอำนาจศาลต่างๆ ปกป้องข้อมูลสุขภาพแตกต่างกันและกำหนดเงื่อนไขของตนเองในการถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ดังนั้น การแบ่งปันข้ามพรมแดนจึงขึ้นอยู่กับกลไกต่างๆ เช่น การตัดสินใจเรื่องความเพียงพอ หรือการคุ้มครองตามสัญญา และองค์กรต่างๆ ต้องประสานงานกับระบอบกฎหมายหลายฉบับ ซึ่งกำหนดโดยกฎหมายปัจจุบันมากกว่าโดยสรุปทั่วไป

กฎระเบียบและการกำกับดูแลข้อมูลสุขภาพระหว่างประเทศ

กฎระเบียบและการกำกับดูแลข้อมูลสุขภาพระหว่างประเทศเกี่ยวข้องกับกฎหมายระดับชาติและระดับภูมิภาคที่หลากหลายซึ่งปกป้องข้อมูลสุขภาพ และการจัดการเชิงสถาบันที่ทำให้การใช้ข้อมูลดังกล่าวมีความรับผิดชอบสามารถเกิดขึ้นได้ข้ามพรมแดน เนื่องจากข้อมูลสุขภาพมีการแบ่งปันเพิ่มขึ้นสำหรับการดูแล การวิจัย และการวิเคราะห์ที่ครอบคลุมหลายเขตอำนาจศาล องค์กรต่างๆ จึงต้องประสานงานกับระบอบกฎหมายที่แตกต่างกัน โดยเฉพาะอย่างยิ่งกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU General Data Protection Regulation) และกรอบการทำงานเฉพาะภาคส่วนของสหรัฐอเมริกา และจัดตั้งโครงสร้างการกำกับดูแลเพื่อจัดการสิทธิ ความเสี่ยง และความรับผิดชอบ

ค้นหาหัวข้อด้วย PaperMindเร็ว ๆ นี้Find papers & topics

Tools & resources

ดาวน์โหลดสไลด์

Learn & explore

วิดีโอเร็ว ๆ นี้

Definition

กฎระเบียบและการกำกับดูแลข้อมูลสุขภาพระหว่างประเทศคือชุดของกฎหมาย หลักการ และการจัดการเชิงสถาบันที่ควบคุมการรวบรวม การใช้ การแบ่งปัน และการถ่ายโอนข้อมูลสุขภาพข้ามพรมแดนในเขตอำนาจศาลต่างๆ พร้อมด้วยโครงสร้างความรับผิดชอบที่รับรองว่าการจัดการดังกล่าวเป็นไปอย่างถูกกฎหมาย โปร่งใส และน่าเชื่อถือ

Scope

บทความนี้สำรวจรูปแบบกฎระเบียบหลักและความแตกต่าง (แนวทางที่ครอบคลุมเทียบกับแนวทางเฉพาะภาคส่วน) การปฏิบัติเป็นพิเศษที่ข้อมูลสุขภาพมักได้รับในฐานะข้อมูลประเภทอ่อนไหว พื้นฐานทางกฎหมายและข้อจำกัดในการถ่ายโอนข้ามพรมแดน และกลไกการกำกับดูแล (หน่วยงานกำกับดูแล ความรับผิดชอบ ความโปร่งใส) ที่นำกฎเหล่านี้ไปปฏิบัติ รวมถึงการใช้งานใหม่ๆ เช่น ปัญญาประดิษฐ์ เป็นข้อมูลอ้างอิงและสื่อการศึกษาเกี่ยวกับภูมิทัศน์และแนวคิด ไม่ใช่คำแนะนำทางกฎหมายหรือการพิจารณาการปฏิบัติตามข้อกำหนดสำหรับเขตอำนาจศาลหรือการถ่ายโอนใดๆ โดยเฉพาะ

Core questions

แนวทางที่ครอบคลุมและแนวทางเฉพาะภาคส่วนในการคุ้มครองข้อมูลแตกต่างกันอย่างไร?
เหตุใดข้อมูลสุขภาพจึงมักถูกจัดเป็นข้อมูลประเภทพิเศษที่ได้รับการคุ้มครองมากขึ้น?
พื้นฐานทางกฎหมายและมาตรการป้องกันใดที่ควบคุมการถ่ายโอนข้อมูลสุขภาพข้ามพรมแดน?
โครงสร้างการกำกับดูแลใดที่สนับสนุนการใช้ข้อมูลสุขภาพอย่างมีความรับผิดชอบ?
กรอบการกำกับดูแลกำลังปรับตัวอย่างไรกับการใช้งานที่เน้นข้อมูล เช่น ปัญญาประดิษฐ์?

Key concepts

กฎระเบียบที่ครอบคลุมเทียบกับกฎระเบียบเฉพาะภาคส่วน
ข้อมูลประเภทพิเศษ (อ่อนไหว)
พื้นฐานทางกฎหมายสำหรับการประมวลผลและความยินยอม
สิทธิของเจ้าของข้อมูล
กลไกการถ่ายโอนข้ามพรมแดนและความเพียงพอ
การลดปริมาณข้อมูลและการจำกัดวัตถุประสงค์
ความรับผิดชอบและการคุ้มครองข้อมูลโดยการออกแบบ
การกำกับดูแลข้อมูลและการควบคุมดูแล

Mechanisms

เขตอำนาจศาลต่างๆ ควบคุมข้อมูลสุขภาพผ่านกลยุทธ์ที่แตกต่างกัน ระบอบที่ครอบคลุม เช่น กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU General Data Protection Regulation) ใช้หลักการคุ้มครองข้อมูลทั่วไป รวมถึงความชอบด้วยกฎหมาย การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล และความรับผิดชอบ กับข้อมูลส่วนบุคคลทั้งหมด และให้สิทธิที่บังคับใช้ได้แก่บุคคล ในขณะที่ถือว่าข้อมูลสุขภาพเป็นข้อมูลประเภทพิเศษที่อยู่ภายใต้เงื่อนไขที่เข้มงวดขึ้น (Cornock, 2018) ระบอบเฉพาะภาคส่วน เช่น ของสหรัฐอเมริกา ควบคุมโดเมนเฉพาะ โดย HIPAA ครอบคลุมผู้มีส่วนร่วมด้านสุขภาพบางราย และกฎอื่นๆ ครอบคลุมภาคส่วนอื่นๆ (Nass et al., 2009) เมื่อข้อมูลข้ามพรมแดน กลไกการถ่ายโอน (เช่น การตัดสินใจเรื่องความเพียงพอ หรือการคุ้มครองตามสัญญา) จะกำหนดว่าข้อมูลจะเคลื่อนย้ายได้หรือไม่และอย่างไร นอกเหนือจากกฎหมายแล้ว โครงสร้างการกำกับดูแล หน่วยงานกำกับดูแล ภาระผูกพันด้านความโปร่งใส และข้อกำหนดด้านความรับผิดชอบ จะเปลี่ยนหลักการให้เป็นการปฏิบัติจริง สิ่งเหล่านี้ขยายไปสู่การใช้งานที่เน้นข้อมูลมากขึ้น เช่น ปัญญาประดิษฐ์ ซึ่งรูปแบบการกำกับดูแลที่เสนอเน้นความยุติธรรม ความโปร่งใส และการกำกับดูแล (Reddy et al., 2020)

Clinical relevance

ความแตกต่างระหว่างระบอบระดับชาติส่งผลต่อว่าระบบสุขภาพและนักวิจัยสามารถแบ่งปันข้อมูลระหว่างประเทศเพื่อการประสานงานการดูแล การศึกษาหลายไซต์ และการวิเคราะห์ได้อย่างไร และการจัดการการกำกับดูแลจะกำหนดความไว้วางใจที่การแบ่งปันดังกล่าวขึ้นอยู่กับ บทความนี้อธิบายภูมิทัศน์ด้านกฎระเบียบและแนวคิดการกำกับดูแลเพื่อการอ้างอิงและการศึกษา ไม่ใช่คำแนะนำทางกฎหมายและไม่ได้กำหนดการปฏิบัติตามข้อกำหนดสำหรับองค์กร การถ่ายโอน หรือเขตอำนาจศาลใดๆ โดยเฉพาะ

Evidence & guidelines

อำนาจหลักอยู่ในเครื่องมือทางกฎหมายเอง โดยเฉพาะอย่างยิ่ง Regulation (EU) 2016/679 (GDPR) และในสหรัฐอเมริกาคือ HIPAA และกฎเฉพาะภาคส่วนที่เกี่ยวข้อง คำอธิบายจะอธิบายถึงผลกระทบต่อการวิจัยและการปฏิบัติ (Cornock, 2018; Nass et al., 2009) และรูปแบบการกำกับดูแลที่เกิดขึ้นใหม่จะกล่าวถึงการใช้งานใหม่ๆ เช่น ปัญญาประดิษฐ์ (Reddy et al., 2020) เนื่องจากระบอบการปกครองแตกต่างกันไปตามเขตอำนาจศาลและมีการแก้ไขเป็นระยะ จึงจำเป็นต้องมีแหล่งข้อมูลทางกฎหมายที่เป็นทางการในปัจจุบันและคำแนะนำจากผู้เชี่ยวชาญสำหรับการพิจารณาใดๆ โดยเฉพาะ

History

กฎหมายคุ้มครองข้อมูลสมัยใหม่เติบโตมาจากหลักการที่กำหนดขึ้นในช่วงทศวรรษ 1970 และ 1980 รวมถึงแนวทางปฏิบัติของ OECD ด้านความเป็นส่วนตัว ซึ่งมีอิทธิพลต่อกฎหมายในภายหลัง ยุโรปได้ประมวลแนวทางที่ครอบคลุมใน Data Protection Directive ปี 1995 ซึ่งถูกแทนที่ในปี 2018 ด้วย General Data Protection Regulation ซึ่งเสริมสร้างสิทธิส่วนบุคคลและการเข้าถึงนอกอาณาเขต (Cornock, 2018) สหรัฐอเมริกาได้พัฒนากรอบการทำงานเฉพาะภาคส่วน โดย HIPAA กล่าวถึงข้อมูลสุขภาพโดยเฉพาะ (Nass et al., 2009) เมื่อการไหลของข้อมูลเป็นไปทั่วโลกและการวิเคราะห์ก้าวหน้า การถกเถียงเรื่องการกำกับดูแลก็ขยายไปสู่การครอบคลุมการถ่ายโอนข้ามพรมแดนและการใช้ปัญญาประดิษฐ์อย่างมีความรับผิดชอบ (Reddy et al., 2020)

Debates

กฎระเบียบที่ครอบคลุมเทียบกับกฎระเบียบเฉพาะภาคส่วนของข้อมูลสุขภาพ: ระบอบที่ครอบคลุมใช้หลักการที่เป็นหนึ่งเดียวกับข้อมูลส่วนบุคคลทั้งหมดและถือว่าข้อมูลสุขภาพเป็นข้อมูลประเภทพิเศษที่ได้รับการคุ้มครอง ในขณะที่ระบอบเฉพาะภาคส่วนควบคุมโดเมนที่กำหนด ผู้สังเกตการณ์ไม่เห็นด้วยว่าแนวทางใดที่สร้างสมดุลที่ดีกว่าระหว่างการคุ้มครองที่แข็งแกร่ง ความชัดเจน และความสามารถในการใช้ข้อมูลเพื่อการดูแลและการวิจัย

Seminal works

cornock-2018
nass-2009

Frequently asked questions

GDPR ปฏิบัติต่อข้อมูลสุขภาพอย่างไร?: GDPR จัดประเภทข้อมูลที่เกี่ยวข้องกับสุขภาพเป็นข้อมูลประเภทพิเศษที่อยู่ภายใต้เงื่อนไขเพิ่มเติมสำหรับการประมวลผลที่ชอบด้วยกฎหมาย นอกเหนือจากหลักการทั่วไป เช่น ความชอบด้วยกฎหมาย การจำกัดวัตถุประสงค์ การลดปริมาณข้อมูล และความรับผิดชอบ และให้สิทธิที่บังคับใช้ได้แก่บุคคลเหนือข้อมูลของตน
เหตุใดการแบ่งปันข้อมูลสุขภาพข้ามพรมแดนจึงซับซ้อน?: เขตอำนาจศาลต่างๆ ปกป้องข้อมูลสุขภาพแตกต่างกันและกำหนดเงื่อนไขของตนเองในการถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ดังนั้น การแบ่งปันข้ามพรมแดนจึงขึ้นอยู่กับกลไกต่างๆ เช่น การตัดสินใจเรื่องความเพียงพอ หรือการคุ้มครองตามสัญญา และองค์กรต่างๆ ต้องประสานงานกับระบอบกฎหมายหลายฉบับ ซึ่งกำหนดโดยกฎหมายปัจจุบันมากกว่าโดยสรุปทั่วไป