GDPR и MDR/IVDR

Общий регламент по защите данных (GDPR) является краеугольным камнем в обеспечении конфиденциальности персональных данных в ЕС. Регламенты по медицинским изделиям (MDR) и медицинским изделиям для диагностики in vitro (IVDR) устанавливают стандарты безопасности и эффективности для медицинской продукции. Однако когда продукт объединяет обе функции, выступая в качестве медицинского изделия и одновременно собирая и обрабатывая персональные данные, он оказывается на пересечении двух регламентов. В этой ситуации соблюдение и GDPR, и MDR/IVDR становится для него обязательным, и производитель обязан обеспечить не только эффективность и безопасность медицинского продукта, но также конфиденциальность и безопасность личных данных, которые продукт использует.

Какие данные подпадают под действие GDPR?

Регламент GDPR применим к обработке персональных данных физических лиц, находящихся на территории Европейского Союза, независимо от их гражданства или статуса проживания. Кроме того, GDPR также применяется в отношении обработки персональных данных организациями за пределами ЕС, если они предлагают товары или услуги физическим лицам в ЕС или отслеживают поведение физических лиц на территории ЕС.

GDPR в первую очередь применяется к обработке именно персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Сюда относятся такие общие данные как имена, адреса и номера документов, а также и другая информация, специфичная для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности людей.

Кроме того, GDPR может также применяться к некоторым особым категориям данных. К этим категориям относятся данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные, биометрические данные, данные о здоровье или данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица.

Кроме того, GDPR налагает обязательства по обработке персональных данных, касающихся судимостей и правонарушений, известных как «криминальные данные».

Какие данные не подпадают под действие GDPR?

GDPR обычно применяется к обработке персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Другие типы данных не подпадают под действие GDPR, например:

• Данные, которые были анонимизированы или деидентифицированы таким образом, что их нельзя использовать для идентификации отдельных лиц, не считаются персональными данными и, следовательно, выходят за рамки GDPR.
• Данные, относящиеся к юридическим лицам, таким как компании, партнерства или организации, обычно не считаются персональными данными и не подпадают под действие GDPR. Однако данные, относящиеся к физическим лицам, выступающим в качестве представителей или сотрудников таких организаций, могут считаться персональными данными.
• Информация, которая находится в открытом доступе и легко доступна широкой публике, например, публичные реестры, официальные бюллетени или общедоступные веб-сайты, не подпадает под действие GDPR. Однако если субъект данных ограничил обработку своей общедоступной информации, GDPR все равно может применяться.
• GDPR не распространяется на обработку персональных данных, связанную с работой органов национальной безопасности или правоохранительных органов. Эта деятельность регулируется отдельными правовыми рамками, установленными государствами-членами ЕС.
• Обработка персональных данных физическими лицами для чисто личных или бытовых целей, таких как ведение записных книжек или семейных фотоальбомов, не подпадает под действие GDPR.

На какие медицинские изделия и изделия для in vitro диагностики может распространяться GDPR?

Соблюдение GDPR необходимо тогда, когда медицинское изделие каким либо образом использует данные отдельных физических лиц.

Таким образом, простое правило, позволяющее определить, должно ли ваше устройство соответствовать требованиям GDPR, заключается в следующем: если ваше устройство собирает или обрабатывает персональные данные пациентов или пользователей, оно должно соответствовать требованиям GDPR. В противном случае GDPR не применяется.

Примеры медицинских изделий, в том числе для диагностики in vitro, которые могут требовать соответствия GDPR, включают:

• Нательные устройства, которые собирают персональные данные о здоровье, например, частоту сердечных сокращений, уровень активности и режим сна.
• Медицинские изделия, оснащенные функциями подключения к интернету, такие как кардиостимуляторы, инсулиновые помпы и непрерывные мониторы уровня глюкозы, которые передают данные пациентов поставщикам медицинских услуг или не облачные платформы.
• Изделия, используемые в телемедицине или приложениях дистанционного мониторинга, такие как платформы телемедицины, системы удаленного мониторинга пациентов и инструменты мониторинга в реальном времени, которые включают обработку данных пациентов.
• Мобильные приложения или программные платформы, предназначенные для мониторинга состояния здоровья, включая средства отслеживания симптомов, приложения для управления приемом лекарств и инструменты для контроля за хроническими заболеваниями.
• Изделия для диагностики in vitro, используемые для генетического тестирования или персонализированной медицины, такие как наборы для генетического тестирования, предназначенные непосредственно для потребителя, которые собирают и обрабатывают конфиденциальную генетическую информацию.
• Лабораторное оборудование, используемое для диагностических исследований in vitro, включая автоматические анализаторы, машины для ПЦР и платформы секвенирования нового поколения, которые собирают и обрабатывают данные пациентов.
• При наличии определенного функционала - интегрированные информационные системы здравоохранения, электронные медицинские записи (EHR) и больничные информационные системы (HIS), которые хранят и управляют данными о здоровье пациентов в медицинских учреждениях.
• Устройства дистанционного мониторинга, используемые для наблюдения за пациентами или дистанционного мониторинга пациентов, включая кардиомониторы, пульсоксиметры и устройства мониторинга дыхания.
• Имплантируемые медицинские устройства, такие как нейростимуляторы, кохлеарные имплантаты и ортопедические имплантаты, которые могут собирать и передавать данные пациентов в диагностических или терапевтических целях.
• Устройства для тестирования у постели пациента, используемые для быстрого диагностического тестирования, такие как глюкометры, тесты на беременность и наборы для тестирования на инфекционные заболевания, которые обрабатывают образцы пациентов и генерируют результаты тестов.

Эти примеры иллюстрируют разнообразный спектр медицинских устройств и IVD, которые могут собирать, обрабатывать или передавать персональные данные, а потому требуют соблюдения GDPR для обеспечения защиты конфиденциальности пациентов и безопасности данных.