Без языковых барьеров!

Напишите нам:
info@mdrc-services.com

Или воспользуйтесь формой

 

GDPR и медицинские изделия

Современный мир построен на информации. Область медицинских изделий - не исключение. Очень многие изделия используют данные пациентов, а некоторые и пользователей. В связи с этим возникает вопрос, должны ли они соответствовать требованиям в области защиты данных. Например, если вы продаете или собираетесь продавать свой продукт в Европе, должен ли он соответствовать требованиям GDPR? Ответ на этот вопрос будет зависеть от того, какого рода данные и как именно использует ваш продукт. Об этом и пойдет речь ниже.

GDPR и MDR/IVDR

Общий регламент по защите данных (GDPR) является краеугольным камнем в обеспечении конфиденциальности персональных данных в ЕС. Регламенты по медицинским изделиям (MDR) и медицинским изделиям для диагностики in vitro (IVDR) устанавливают стандарты безопасности и эффективности для медицинской продукции. Однако когда продукт объединяет обе функции, выступая в качестве медицинского изделия и одновременно собирая и обрабатывая персональные данные, он оказывается на пересечении двух регламентов. В этой ситуации соблюдение и GDPR, и MDR/IVDR становится для него обязательным, и производитель обязан обеспечить не только эффективность и безопасность медицинского продукта, но также конфиденциальность и безопасность личных данных, которые продукт использует.

Какие данные подпадают под действие GDPR?

Регламент GDPR применим к обработке персональных данных физических лиц, находящихся на территории Европейского Союза, независимо от их гражданства или статуса проживания. Кроме того, GDPR также применяется в отношении обработки персональных данных организациями за пределами ЕС, если они предлагают товары или услуги физическим лицам в ЕС или отслеживают поведение физических лиц на территории ЕС.

GDPR в первую очередь применяется к обработке именно персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Сюда относятся такие общие данные как имена, адреса и номера документов, а также и другая информация, специфичная для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности людей.

Кроме того, GDPR может также применяться к некоторым особым категориям данных. К этим категориям относятся данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные, биометрические данные, данные о здоровье или данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица.

Кроме того, GDPR налагает обязательства по обработке персональных данных, касающихся судимостей и правонарушений, известных как «криминальные данные».

Какие данные не подпадают под действие GDPR?

GDPR обычно применяется к обработке персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Другие типы данных не подпадают под действие GDPR, например:

  • Данные, которые были анонимизированы или деидентифицированы таким образом, что их нельзя использовать для идентификации отдельных лиц, не считаются персональными данными и, следовательно, выходят за рамки GDPR.
  • Данные, относящиеся к юридическим лицам, таким как компании, партнерства или организации, обычно не считаются персональными данными и не подпадают под действие GDPR. Однако данные, относящиеся к физическим лицам, выступающим в качестве представителей или сотрудников таких организаций, могут считаться персональными данными.
  • Информация, которая находится в открытом доступе и легко доступна широкой публике, например, публичные реестры, официальные бюллетени или общедоступные веб-сайты, не подпадает под действие GDPR. Однако если субъект данных ограничил обработку своей общедоступной информации, GDPR все равно может применяться.
  • GDPR не распространяется на обработку персональных данных, связанную с работой органов национальной безопасности или правоохранительных органов. Эта деятельность регулируется отдельными правовыми рамками, установленными государствами-членами ЕС.
  • Обработка персональных данных физическими лицами для чисто личных или бытовых целей, таких как ведение записных книжек или семейных фотоальбомов, не подпадает под действие GDPR.

На какие медицинские изделия и изделия для in vitro диагностики может распространяться GDPR?

Соблюдение GDPR необходимо тогда, когда медицинское изделие каким либо образом использует данные отдельных физических лиц.

Таким образом, простое правило, позволяющее определить, должно ли ваше устройство соответствовать требованиям GDPR, заключается в следующем: если ваше устройство собирает или обрабатывает персональные данные пациентов или пользователей, оно должно соответствовать требованиям GDPR. В противном случае GDPR не применяется.

Примеры медицинских изделий, в том числе для диагностики in vitro, которые могут требовать соответствия GDPR, включают:

  • Нательные устройства, которые собирают персональные данные о здоровье, например, частоту сердечных сокращений, уровень активности и режим сна.
  • Медицинские изделия, оснащенные функциями подключения к интернету, такие как кардиостимуляторы, инсулиновые помпы и непрерывные мониторы уровня глюкозы, которые передают данные пациентов поставщикам медицинских услуг или не облачные платформы.
  • Изделия, используемые в телемедицине или приложениях дистанционного мониторинга, такие как платформы телемедицины, системы удаленного мониторинга пациентов и инструменты мониторинга в реальном времени, которые включают обработку данных пациентов.
  • Мобильные приложения или программные платформы, предназначенные для мониторинга состояния здоровья, включая средства отслеживания симптомов, приложения для управления приемом лекарств и инструменты для контроля за хроническими заболеваниями.
  • Изделия для диагностики in vitro, используемые для генетического тестирования или персонализированной медицины, такие как наборы для генетического тестирования, предназначенные непосредственно для потребителя, которые собирают и обрабатывают конфиденциальную генетическую информацию.
  • Лабораторное оборудование, используемое для диагностических исследований in vitro, включая автоматические анализаторы, машины для ПЦР и платформы секвенирования нового поколения, которые собирают и обрабатывают данные пациентов.
  • При наличии определенного функционала - интегрированные информационные системы здравоохранения, электронные медицинские записи (EHR) и больничные информационные системы (HIS), которые хранят и управляют данными о здоровье пациентов в медицинских учреждениях.
  • Устройства дистанционного мониторинга, используемые для наблюдения за пациентами или дистанционного мониторинга пациентов, включая кардиомониторы, пульсоксиметры и устройства мониторинга дыхания.
  • Имплантируемые медицинские устройства, такие как нейростимуляторы, кохлеарные имплантаты и ортопедические имплантаты, которые могут собирать и передавать данные пациентов в диагностических или терапевтических целях.
  • Устройства для тестирования у постели пациента, используемые для быстрого диагностического тестирования, такие как глюкометры, тесты на беременность и наборы для тестирования на инфекционные заболевания, которые обрабатывают образцы пациентов и генерируют результаты тестов.

Эти примеры иллюстрируют разнообразный спектр медицинских устройств и IVD, которые могут собирать, обрабатывать или передавать персональные данные, а потому требуют соблюдения GDPR для обеспечения защиты конфиденциальности пациентов и безопасности данных.

Здесь все, что вам нужно, чтобы получить CE-марку для вашего медицинского ПО:

Техническая
документация
Узнать >>

Система
менеджмента
качества
Узнать >>

PRRC

Узнать >>

Уполномоченный
представитель
Узнать >>

UDI

Узнать >>

Регистрация
в EUDAMED
Узнать >>

Нотифицированные
организации
Узнать >>

Мы поможем вам получить все необходимые сертификаты.

Узнать >>

О чем вам нужно знать, чтобы пройти сертификацию и продавать свою продукцию в ЕС:

MDR - алгоритм действий

Узнать >>

IVDR - алгоритм действий

Узнать >>

MDR чеклист
Узнать >>

GDPR и медицинские изделия

Современный мир построен на информации. Область медицинских изделий - не исключение. Очень многие изделия используют данные пациентов, а некоторые и пользователей. В связи с этим возникает вопрос, должны ли они соответствовать требованиям в области защиты данных. Например, если вы продаете или собираетесь продавать свой продукт в Европе, должен ли он соответствовать требованиям GDPR? Ответ на этот вопрос будет зависеть от того, какого рода данные и как именно использует ваш продукт. Об этом и пойдет речь ниже.

GDPR и MDR/IVDR

Общий регламент по защите данных (GDPR) является краеугольным камнем в обеспечении конфиденциальности персональных данных в ЕС. Регламенты по медицинским изделиям (MDR) и медицинским изделиям для диагностики in vitro (IVDR) устанавливают стандарты безопасности и эффективности для медицинской продукции. Однако когда продукт объединяет обе функции, выступая в качестве медицинского изделия и одновременно собирая и обрабатывая персональные данные, он оказывается на пересечении двух регламентов. В этой ситуации соблюдение и GDPR, и MDR/IVDR становится для него обязательным, и производитель обязан обеспечить не только эффективность и безопасность медицинского продукта, но также конфиденциальность и безопасность личных данных, которые продукт использует.

Какие данные подпадают под действие GDPR?

Регламент GDPR применим к обработке персональных данных физических лиц, находящихся на территории Европейского Союза, независимо от их гражданства или статуса проживания. Кроме того, GDPR также применяется в отношении обработки персональных данных организациями за пределами ЕС, если они предлагают товары или услуги физическим лицам в ЕС или отслеживают поведение физических лиц на территории ЕС.

GDPR в первую очередь применяется к обработке именно персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Сюда относятся такие общие данные как имена, адреса и номера документов, а также и другая информация, специфичная для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности людей.

Кроме того, GDPR может также применяться к некоторым особым категориям данных. К этим категориям относятся данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные, биометрические данные, данные о здоровье или данные, касающиеся сексуальной жизни или сексуальной ориентации физического лица.

Кроме того, GDPR налагает обязательства по обработке персональных данных, касающихся судимостей и правонарушений, известных как «криминальные данные».

Какие данные не подпадают под действие GDPR?

GDPR обычно применяется к обработке персональных данных, которые определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Другие типы данных не подпадают под действие GDPR, например:

  • Данные, которые были анонимизированы или деидентифицированы таким образом, что их нельзя использовать для идентификации отдельных лиц, не считаются персональными данными и, следовательно, выходят за рамки GDPR.
  • Данные, относящиеся к юридическим лицам, таким как компании, партнерства или организации, обычно не считаются персональными данными и не подпадают под действие GDPR. Однако данные, относящиеся к физическим лицам, выступающим в качестве представителей или сотрудников таких организаций, могут считаться персональными данными.
  • Информация, которая находится в открытом доступе и легко доступна широкой публике, например, публичные реестры, официальные бюллетени или общедоступные веб-сайты, не подпадает под действие GDPR. Однако если субъект данных ограничил обработку своей общедоступной информации, GDPR все равно может применяться.
  • GDPR не распространяется на обработку персональных данных, связанную с работой органов национальной безопасности или правоохранительных органов. Эта деятельность регулируется отдельными правовыми рамками, установленными государствами-членами ЕС.
  • Обработка персональных данных физическими лицами для чисто личных или бытовых целей, таких как ведение записных книжек или семейных фотоальбомов, не подпадает под действие GDPR.

На какие медицинские изделия и изделия для in vitro диагностики может распространяться GDPR?

Соблюдение GDPR необходимо тогда, когда медицинское изделие каким либо образом использует данные отдельных физических лиц.

Таким образом, простое правило, позволяющее определить, должно ли ваше устройство соответствовать требованиям GDPR, заключается в следующем: если ваше устройство собирает или обрабатывает персональные данные пациентов или пользователей, оно должно соответствовать требованиям GDPR. В противном случае GDPR не применяется.

Примеры медицинских изделий, в том числе для диагностики in vitro, которые могут требовать соответствия GDPR, включают:

  • Нательные устройства, которые собирают персональные данные о здоровье, например, частоту сердечных сокращений, уровень активности и режим сна.
  • Медицинские изделия, оснащенные функциями подключения к интернету, такие как кардиостимуляторы, инсулиновые помпы и непрерывные мониторы уровня глюкозы, которые передают данные пациентов поставщикам медицинских услуг или не облачные платформы.
  • Изделия, используемые в телемедицине или приложениях дистанционного мониторинга, такие как платформы телемедицины, системы удаленного мониторинга пациентов и инструменты мониторинга в реальном времени, которые включают обработку данных пациентов.
  • Мобильные приложения или программные платформы, предназначенные для мониторинга состояния здоровья, включая средства отслеживания симптомов, приложения для управления приемом лекарств и инструменты для контроля за хроническими заболеваниями.
  • Изделия для диагностики in vitro, используемые для генетического тестирования или персонализированной медицины, такие как наборы для генетического тестирования, предназначенные непосредственно для потребителя, которые собирают и обрабатывают конфиденциальную генетическую информацию.
  • Лабораторное оборудование, используемое для диагностических исследований in vitro, включая автоматические анализаторы, машины для ПЦР и платформы секвенирования нового поколения, которые собирают и обрабатывают данные пациентов.
  • При наличии определенного функционала - интегрированные информационные системы здравоохранения, электронные медицинские записи (EHR) и больничные информационные системы (HIS), которые хранят и управляют данными о здоровье пациентов в медицинских учреждениях.
  • Устройства дистанционного мониторинга, используемые для наблюдения за пациентами или дистанционного мониторинга пациентов, включая кардиомониторы, пульсоксиметры и устройства мониторинга дыхания.
  • Имплантируемые медицинские устройства, такие как нейростимуляторы, кохлеарные имплантаты и ортопедические имплантаты, которые могут собирать и передавать данные пациентов в диагностических или терапевтических целях.
  • Устройства для тестирования у постели пациента, используемые для быстрого диагностического тестирования, такие как глюкометры, тесты на беременность и наборы для тестирования на инфекционные заболевания, которые обрабатывают образцы пациентов и генерируют результаты тестов.

Эти примеры иллюстрируют разнообразный спектр медицинских устройств и IVD, которые могут собирать, обрабатывать или передавать персональные данные, а потому требуют соблюдения GDPR для обеспечения защиты конфиденциальности пациентов и безопасности данных.

Больше статей

Сертификат CE и сертификат EC для медицинских изделий: что это за сертификаты и который из них нужен мне

Базовый UDI-DI (basic UDI-DI) - что это, где его взять и что с ним делать

Регистрация в EUDAMED - краткая инструкция

Договор с Уполномоченным представителем в Европейском Союзе (мандат Уполномоченного представителя)

GSPR – общие требования к медицинским изделиям в Европейском Союзе

Как получить CE-маркировку для медицинского программного обеспечения в соответствии с MDR или IVDR?

Техническая документация для медицинского программного обеспечения (MDSW) в Европейском Союзе

Как зарегистрировать медицинское изделие в ЕС

IEC 62304 - стандарт для медицинского программного обеспечения

Как определить класс медицинского изделия согласно MDR

Регламент Европейского Союза для Медицинских Изделий (MDR) - основы

Стандарты ISO и IEC для медицинского программного обеспечения

СЕ-марка - примеры из практики

CE-марка для медицинских изделий - вопросы и ответы

Клиническая оценка, PMCF, PMS, и какая между ними связь

Нотифицированные организации ЕС и их роль в сертификации медицинских изделий

Что такое NANDO и почему о ней должны знать производители медицинских изделий?

Требования к маркировке и UDI для медицинских изделий в ЕС

Роль Уполномоченного представителя и импортера в рамках MDR/IVDR

Внедрение MDR – проблемы и решения

Постмаркетинговый надзор в соответствии MDR и IVDR

Как пройти сертификацию медицинского изделия в ЕС

План менеджмента рисков для медицинских изделий

GDPR и медицинские изделия

ЕС-сертификат на медицинское изделие - вопросы и ответы

Сколько времени требуется, чтобы получить CE-марку для медицинского изделия

Кто такой PRRC?

Требования, предъявляемые к импортерам и дистрибьюторам медицинских изделий в Европейском Союзе

Языковые требования к инструкциям и этикеткам для медицинских изделий согласно MDR и IVDR

Легальный Производитель и Оригинальный Производитель медицинских изделий

Все статьи >>

Без языковых барьеров!

Свяжитесь с нами по электронной почте:
info@mdrc-services.com

Или воспользуйтесь формой для контактов