Аптеки и медицинские данные: CNIL налагает штраф в 5 миллионов евро на IQVIA

Пять лет назад расследование выявило практику IQVIA по сбору данных пациентов из более чем 14 000 аптек без их надлежащего информирования. Впоследствии французский орган по защите данных (CNIL) оштрафовал IQVIA на 5 миллионов евро за эти нарушения, а также за недостатки в обеспечении прав субъектов данных и в безопасности информации.

В 2021 году расследование Cash Investigation привлекло внимание к сбору IQVIA персональных данных через многочисленные аптеки, зачастую без информирования клиентов или предоставления им права на возражение. Хотя в 2018 году CNIL разрешила IQVIA создать хранилище медицинских данных LRX для исследовательских целей, собирая информацию из примерно 14 000 аптек, и обещала провести проверки, потребовалось пять лет, чтобы регулятор завершил расследование и наложил штраф в размере 5 миллионов евро.

Проверки CNIL касались не только хранилища медицинских данных LRX, но и хранилища EMR, которое CNIL разрешила в феврале 2021 года. Это второе хранилище обрабатывает данные, собранные примерно от 2000 до 3000 врачей.

Основная проблема, выявленная Cash Investigation в отношении LRX после проверки 200 аптек, заключалась в том, что фармацевты не информировали своих клиентов о сборе данных, тем самым лишая их возможности воспользоваться своим правом на возражение против обработки, как того требует закон.

Следователь CNIL подтвердил это нарушение в четырех парижских аптеках, участвующих в проекте LRX, отметив, что ни одна из них не предоставляла необходимую информацию. Это было расценено как нарушение статьи 14 GDPR, напрямую вменяемое IQVIA как оператору данных. CNIL подчеркнул, что IQVIA, в качестве оператора, несет ответственность за соблюдение требований GDPR, включая информирование лиц, чьи данные обрабатываются в хранилище.

Псевдонимизация не освобождает от обязательств по GDPR

В ходе расследования CNIL компания IQVIA утверждала, что данные в хранилищах LRX и EMR являются анонимными, следовательно, требования GDPR и закона об информационных технологиях неприменимы, а разрешения CNIL потеряли свою актуальность. IQVIA заявляла, что повторная идентификация физических лиц была бы неразумной или незаконной, и, таким образом, данные, по ее мнению, не являются персональными.

CNIL не согласилась с этим, заявив, что псевдонимизация, примененная IQVIA, не обеспечивает истинной анонимизации данных. Регулятор подчеркнул использование уникальных идентификаторов: для LRX каждому клиенту аптеки присваивается уникальный ID, который остается неизменным во всех партнерских аптеках, позволяя отслеживать все покупки одного клиента. Для EMR каждому пациенту присваивается уникальный ID для конкретного врача, что позволяет IQVIA отслеживать путь пациента в рамках одной клиники.

Кроме того, данные включали информацию о местоположении, что позволяло определять местонахождение пациентов по географическим зонам, состоящим из групп аптек и врачей одной и той же специализации.

CNIL пришла к выводу, что поскольку каждый пациент имеет уникальный идентификационный код, к которому привязано множество данных (возраст, пол, все выписанные рецепты, географическое положение) для отслеживания его медицинского пути, IQVIA может легко выделить каждого человека, что делает данные подверженными риску повторной идентификации.

CNIL также отметила, что IQVIA ранее признавала обработку персональных данных и даже запрашивала (и получала) разрешения на автоматизированную обработку персональных данных для обоих хранилищ, до вынесения решения Европейского суда справедливости в 2025 году, которое, по-видимому, изменило ее позицию.

Несанкционированные исследования с использованием данных и программное обеспечение, передающее данные без согласия

Регулятор пошел дальше, обнаружив, что IQVIA проводила несанкционированные исследования в своих интересах, используя данные из хранилища LRX, хотя не имела разрешения на такое использование.

Следователь CNIL также выяснил, что IQVIA разработала программное обеспечение для управления аптеками через стороннюю компанию. Модули извлечения данных в этом ПО систематически передавали данные пациентов субподрядчику, даже из аптек, не участвующих в проекте LRX, что является явным нарушением статьи 25 GDPR.

Хотя CNIL наложила штраф в 5 миллионов евро за все выявленные нарушения, следователь посчитал, что предписание в отношении нарушений безопасности и конфиденциальности данных больше не требуется, основываясь на последних предоставленных IQVIA сведениях. Регулятор согласился, однако конкретные меры, принятые IQVIA, не были подробно раскрыты.

Однако в отношении остальных нарушений CNIL отметила, что IQVIA с начала процедуры не предоставила никаких доказательств принятия или инициации мер по обеспечению соответствия. В связи с этим, решение включает предписание и ежедневный штраф в размере 10 000 евро за каждый день просрочки по истечении шестимесячного срока после уведомления о решении.

Как и в случае с любым решением CNIL, IQVIA имеет право подать апелляцию в Государственный совет в течение двух месяцев с момента уведомления.

После публикации статьи IQVIA заявила о своем намерении подать апелляцию. Компания подтвердила свою приверженность ответственному использованию данных, высоким стандартам защиты и надежным процессам псевдонимизации для медицинских данных, используемых в статистических исследованиях, утверждая, что это обеспечивает анонимность. IQVIA также заявила о своем сотрудничестве с CNIL и отметила, что выявленные меры безопасности были приняты, а усилия по постоянному улучшению системы безопасности и управления продолжаются.