一种特殊情况是,当医疗机构开展广告活动(例如,为了吸引不活跃的患者)时,不会使用网站数据,而是将此类患者的电子邮件地址/电话号码从 CRM 系统上传到广告柜,以形成自定义受众。毫无疑问,所描述的行为构成了对个人数据的处理。但由于存在委托的法律依据,所以事情并不是那么简单:这些数据的使用与披露在特定机构寻求医疗的事实密切相关,也就是说,它属于健康信息保密权的范畴。
考虑到概述的现实情况,GDPR(以及新版法律)创建了一套要求体系,用于 1)确定个人数据的处理,2)正确记录个人数据并建立处理个人数据的机制,3)与患者沟通,4)采取信息保护措施。这些组成部分的组合使我们能够谈论使用患者数据的合法性,而其中至少一个的缺失可被视为违反法律。
实践中的一个例子。 2023年,意大利监管部门对多家医院处以5.5万欧元 黎巴嫩电话号码库 的罚款。因非法使用人工智能技术(以下简称AI)计算风险并根据患者的健康状况对其进行分类,每人被处以5000欧元罚款。人工智能被用来预测某些患者群体患上某些病症的可能性,因此他们被分类到适当的风险组中,并在此基础上,在医院候诊名单中为他们分配优先等级。医院表示,他们使用人工智能是基于艺术的。 9(2)(h) GDPR 用于正常医疗活动范围内的预防医学目的。然而,监管机构并不同意这一点,认为为预测患者罹患病症的可能性而处理医疗数据是《1989 年数据保护条例》允许的额外且独立的处理。 GDPR 第 9(2)(h) 条。因此,此类处理只能在数据主体的具体知情同意的基础上进行(GDPR 第 9(2)(a) 条)。监管机构还指出,标准的预防和治疗措施不包括自动化患者分析和风险评估,以在机构内建立医疗保健管理系统。
实践上会发生什么变化?新法规将迫使市场学会区分处理的法律依据和使用个人数据的不同方式,包括在营销中,而不是把所有内容都归入“同意”的笼统标题下,因为即使在处理敏感健康数据的医疗机构中,也有很多情况下可能适用其他选择。