跳转到主要内容

【数据法案】欧盟委员会解释《数据法案》对成员国的法律影响

在过去的几周里,欧盟委员会一直在向欧盟国家做一系列介绍,这些国家要求进一步澄清新数据法将如何适用,以及它将如何与其他立法相互作用。

【美国隐私保护】数据保护:委员会启动程序,通过与美国安全数据流的充分性决定

2022年12月13日,欧盟委员会启动了通过《欧盟-美国数据隐私框架》(EU-U.S.Data Privacy Framework)充分性决定的进程,该框架将促进安全的跨大西洋数据流,并解决欧盟法院在2020年7月Schrems II裁决中提出的关注。

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第四部

在这项工作中,我们描述了一种特定于HIS的方法,该方法能够支持风险评估并执行DPIA。这种方法的主要贡献在于将信息系统而不是处理本身确定为分析对象。这在医疗环境中至关重要,因为涉及个人数据的过程非常复杂,否则很难追踪。

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第三部

根据GDPR,DPIA应在单个处理或一组导致类似风险的类似处理上执行。因此,ROPA中定义的一个或多个处理是DPIA的主题(如果它们导致高风险)。 在医疗保健中,“处理”可能有多种定义:它可以指特定的护理路径,或指整个门诊环境,或指单个患者的单一诊断检查。

标签

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第二部

我们首先对GDPR和与DPIA相关的其他来源进行了分析和检查(步骤1,图1),目的是确定与医疗环境中GDPR应用相关的问题。我们决定只考虑GDPR通过后(2016年4月14日)发布的官方和可信文件;除GDPR外,还分析了第29条工作组发布的上述DPIA指南[12]以及法国数据保护局制定和发布的“隐私影响评估(PIA)”方法[13]

【隐私保护合规】在医疗保健信息系统中执行数据保护影响评估的方法和工作流程,第一部

数据保护通用条例》(GDPR)使整个欧盟的个人数据保护法律现代化和统一,影响到包括医疗行业在内的所有经济部门。新法规引入了两项具体职责:处理活动记录(ROPA)和每个高风险处理的数据保护影响评估(DPIA)。目前,没有针对医疗环境的具体DPIA方法,但只有适用于所有经济部门的广泛方法。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第四部分

获得个人数据处理许可的第三步是检查数据传输许可,即确保数据发送公司和数据接收公司在传输个人数据时具有相同目的的许可,并且每个目的的许可符合相同的法律依据(即同意或合法利益)。

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第三部分

获得个人数据处理许可的第二步是通过(1)请求许可和(2)存储许可来处理许可。公司在这些行动中面临着几个挑战(表8)。TCF提供了缓解挑战的工具,我们将在本节中介绍。
订阅 GDPR