当地时间2022年7月14日,欧洲数据保护委员会(European Data Protection Board,以下简称“EDPB”)公布了其和欧洲数据保护监督员(European Data Protection Supervisor,以下简称“EDPS”)对欧盟委员会关于欧洲健康数据空间(European Health Data Space,以下简称“EHDS”)提案的联合意见。
长期以来,欧盟一直以打造共同欧洲数据空间、单一数据市场作为主要目标。早在2020年2月19日,欧盟发布《欧洲数据战略》(European data strategy),概述欧洲未来五年为提振数据经济竞争力将采取的政策方案、技术创新和投资策略,从公共数据空间入手,把不同行业和领域的数据空间逐步融合形成单一数据市场。
2021年5月3日至7月26日,欧盟委员会就建立“欧洲健康数据空间”公开征求意见。2022年5月3日,欧盟委员会启动首个欧洲健康数据空间,并在声明中指出,建立EHDS是欧盟促进健康数据交换的一项重要计划,旨在充分利用健康数据,提供高质量的医疗保健,减少不平等现象,为预防、诊断和治疗,科研创新,决策和立法决定提供数据支持,同时确保欧盟公民对其个人健康数据享有更大的控制权。
对此,EDPB和EDPS在最新发布的联合意见中指出,支持加强个人对其健康数据控制的想法,但提请联合立法者注意一些首要问题,并敦促他们采取果断行动。EDPB和EDPS认为,提案的第四章旨在促进电子健康数据的二次利用,可能会产生公益效益。然而,这些进一步的处理活动也会对个人的权利和自由有风险。
EDPB主席Andrea Jelinek称,EHDS将涉及处理大量具有高度敏感性质的数据。但是,欧洲经济区(EEA)个人的权利绝不能被该提案所削弱。提案中对权利的描述与GDPR不一致,对于可能无法区分这两种权利的个人来说,存在着很大的法律不确定性风险。因此,强烈要求委员会澄清提案和GDPR之间不同权利的相互作用。
EDPS参事Wojciech Wiewiórowski表示,健康应用程序和其他数字健康应用程序产生的健康数据与医疗设备产生的数据质量不一样。这些应用程序产生大量的数据,可能具有高度的侵入性并揭示特别敏感的信息,如宗教取向。因此,健康医疗等应用程序应被排除在可供二次使用之外。
此外,EDPB和EDPS强调有必要澄清提案中的规定、《通用数据保护条例》(GDPR)中的规定和成员国法律以及正在进行的欧洲倡议之间的关系。
同时,EDPB和EDPS承认,提案中预期的电子健康数据交换基础设施旨在促进健康数据的交换。由于要处理的电子健康数据数量巨大、高度敏感以及存在非法访问的风险,并且要充分确保独立数据保护机构对其的有效监督,EDPB和EDPS呼吁欧洲议会和理事会在提案中增加一项要求,将电子健康数据存储在欧洲经济区(EEA),但不影响根据GDPR第五章进行进一步传输。
关于健康数据二次使用的目的,该提案缺乏对电子健康数据可能被进一步处理的目的的适当描述。为了达到平衡,充分考虑到提案所追求的目标和受处理影响的个人的个人数据的保护,共同立法者应进一步界定这些目的,并在与公共卫生、社会安全有充分联系时加以限定。
关于提案引入的治理模式,需要仔细调整新公共机构的任务和权限,特别是在涉及处理健康数据时考虑到国家监管机构、EDPB和EDPS的任务和权限。EDPB和EDPS强调,数据保护机构是负责数据保护问题的唯一主管机构,并应继续作为个人在这些问题上的唯一联络点。应避免权限的重叠,应明确规定合作的领域和要求。
*来源:EDPB
声明:本文来自数据合规公社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。