在 2023 年 11 月 6 日的一項決定中��,德國數(shù)據(jù)保護監(jiān)管機構(gòu)(German data protection supervisory authorities)對數(shù)字健康應(yīng)用程序提出了要求��。未在聯(lián)邦藥品和醫(yī)療用品研究所(Bundesinstitut für Arzneimittel und Medizinprodukte)列為數(shù)字健康應(yīng)用程序的健康應(yīng)用程序?qū)⑹艿接绊?�?��?傮w而言,數(shù)據(jù)保護對這些應(yīng)用程序的制造商和運營商提出了很高的要求:
責(zé)任
除健康應(yīng)用程序制造商外���,個人數(shù)據(jù)還可能由其他行為者(如醫(yī)生或云提供商)處理���。因此,從數(shù)據(jù)保護法的角度來看�����,有必要逐案審查這些當事方所扮演的角色�����。可以考慮單獨或共同責(zé)任以及訂單處理���。
不使用云功能和用戶賬戶
如果云功能對實現(xiàn)治療效果并非絕對必要��,且數(shù)據(jù)當事人明確要求使用該功能���,則必須能夠在不使用云功能和不連接用戶賬戶的情況下使用健康應(yīng)用程序。
研究和質(zhì)量保證
出于研究和質(zhì)量保證目的處理個人數(shù)據(jù)需要法律依據(jù)�����。如果處理的是匿名數(shù)據(jù)���,則屬于例外情況�����。但在這種情況下,控制者必須在數(shù)據(jù)保護影響評估(DPIA)中解釋匿名化是如何進行的��,并證明事實上不可能刪除個人參考信息。
數(shù)據(jù)主體的權(quán)利
GDPR 規(guī)定的數(shù)據(jù)主體的所有權(quán)利都必須得到保障。由于涉及特別敏感的健康數(shù)據(jù)��,必須對申請人進行安全驗證。
數(shù)據(jù)完整性
控制者和處理者必須確保通過技術(shù)和組織措施實現(xiàn)充分的數(shù)據(jù)安全。為此��,數(shù)據(jù)保護監(jiān)管機構(gòu)特別參考了聯(lián)邦信息技術(shù)安全委員會(Bundesamt für Sicherheit in der Informationstechnik,BSI)的《技術(shù)指南》(Technical Guidelines�����,TR)。
國際數(shù)據(jù)傳輸
與 DiGAV 規(guī)定的數(shù)字健康應(yīng)用程序不同,向第三國傳輸健康應(yīng)用程序不再受限制���。不過,控制者和處理者在這方面也必須遵守 GDPR 的要求���。
任何生產(chǎn)或運營健康應(yīng)用程序的人都應(yīng)該以當局的聲明為契機��,修訂現(xiàn)有的數(shù)據(jù)保護文件。即使數(shù)據(jù)保護影響評估 (Data Protection Impact Assessment���,DPIA) 并不贊同當局的每項評估���,但它對數(shù)據(jù)保護做出了重要貢獻,并有助于避免負面影響��。
京公網(wǎng)安備11010802046783號
