西班牙AEPD增加關於健康和個人資料保護關注領域
西班牙個資監管機關(Agencia Española de Protección de Datos, AEPD)於2022年5月3日增加健康和個人資料保護有關的關注領域。觀2021年,計有680件與健康資料相關之爭議案件,與2020年相比增長了75%,又因健康資料為特殊類型之個人資料,故更應嚴加保障。
該領域的內容適用於公民、資料控制者、資料保護專業人員、健康中心或製藥行業等,共分六小節:
一、第一小節概述了與健康資料有關的權利,解釋了歐盟一般個人資料保護規則(General Data Protection Regulation, GDPR)第9條及西班牙當地規範有關處理健康資料定義、如何行使醫療記錄近用權(Right to access),以及與醫學研究相關的問題,其中規定了患者在使用資料和臨床文件方面權利和義務、在近用權被拒絕情況下如何向AEPD申訴、臨床病史保留及刪除權利之限制等。
二、第二小節重點介紹AEPD公布的相關報告和指南,包括勞資關係中之個人資料保護指南,及有關臨床病史、臨床試驗等相關主題之報告。
三、第三小節則著重在AEPD於新型冠狀病毒肺炎(COVID-19)爆發後,製作大量與COVID-19相關之聲明文件及法律報告,故在此彙整相關資料,以協助落實個人資料之保障。
四、第四小節健康研究和臨床試驗,其中彙編了相關指南,以及規範臨床試驗和其他臨床研究以及藥物安全監視所涉個人資料保護行為準則。
五、第五小節講述與健康狀況有關之申訴、賠償紀錄部分,其中包括AEPD收到多項涉及已故患者直系親屬近用醫療記錄之權利或醫療專業人員非法獲取臨床病史和醫療記錄之投訴。
六、第六小節側重於醫療組織洩露個人資料議題,概述了資料控制者之義務以及為確保遵循GDPR而應採取之措施,另強調以特殊方式處理健康資料之活動,如電子健康紀錄、物聯網醫療所使用之行動裝置或雲端等存取設備,皆存在外洩之風險因子。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
何佳穎
副法律研究員 編譯整理
Agencia Española de Protección de Datos, New section on health and data protection https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/nueva-seccion-sobre-salud-y-proteccion-de-datos(last visited May. 11, 2022).
OneTrust DataGuidance, Spain: AEPD adds section on health and data protection https://www.dataguidance.com/news/spain-aepd-adds-section-health-and-data-protection(last visited May. 11, 2022).
因為生物科技(Biotechnology)、奈米科技(Nanotechnology)、微(奈)米電子與半導體(Micro- and nanoelectronics, including semiconductor)、光電(Photonics)、及先進材料(Advanced materials)等五大科技,能夠被廣泛的應用在各種產業上,並可協助現有科技作出重大的改善,故在2009年9月歐盟委員會(European Commission)所公布的一份溝通文件(Communication)當中,被認定為是可以加強競爭力,並協助經濟永續發展的關鍵促成技術(Key Enabling Technologies, KETs)。 在該份名為「為我們的未來做準備:發展歐洲關鍵促成技術促進總策略」(Preparing for our future: developing a common strategy for key enabling technologies in the EU)的文件中,歐盟委員會指出,KETs的技術外溢效益和其所能產生的加成效果,可以同時提昇其他領域的表現,如通訊技術、鋼鐵、醫療器材、汽車、及航太等領域,故將對歐盟地區未來的經濟永續發展有著重大的影響,也可以協助面對社會與環境的重大挑戰。 該文件指出,雖然歐盟擁有許多KETs的相關研發成果,對促進研發成果產業化之措施卻有所不足。在此溝通文件中所規劃的發展策略,配合歐盟持續的在研發作出更多的投資,將會協助歐盟充分應用這些可提高歐盟未來競爭力的KETs。 因為KETs的推展須注意系統性的相關聯性,所以數個不同的政策必需被同時考慮。在溝通文件中提出了十項應被考慮的面向,包括(1)將研發政策專注於KETs;(2)促進境內產學研單位間以及產業供應鏈間的技術移轉;(3)促進歐盟與會員國間發展共同的策略方案和操作專案;(4)運用各會員國境內之補助政策;(5)結合KETs的應用與氣候變遷政策;(6)創造市場需求並配合公共採購;(7)與國際間高科技政策相比較並加強國際合作;(8)透過雙邊或多邊貿易談判創造KETs有利的貿易條件;(9)促進歐洲投資銀行(European Investment Bank, EIB)給予高科技產業優惠貸款;以及(10)透過高等教育與在職訓練提昇技術水準。 歐盟委員會將會建立一個獨立的高階專家團體,去繪製歐盟有關各KETs的長期策略藍圖,並將於2010年年底向部長會議(Council of Ministers)報告。
何謂公共出借權(Public Lending Right;PLR )?隨著科技及網際網路的普及,扮演著知識保存及傳遞角色的圖書館,在近幾年來因應讀者的需求,逐漸朝向數位化邁進。提供數位化服務對於圖書館的使用者來說,可降低資料蒐集的時間成本。然而,對於著作創作人而言,圖書館若提供數位化服務,可能會造成整個著作市場的失序,著作權人無法由著作市場取得著作權法所賦予的相當報酬,同時因應數位時代來臨所衍生的電子資料庫業者的生存空間亦大幅被壓縮。目前已有28個國家立法承認著作人的租借權,對於圖書館出借館藏造成著作權人的損失,採取補償制度,即賦予著作權人「公共出借權」(Public Lending Right;PLR),對於著作權人因為圖書館出借館藏所可能的損失,予以一定額度的補償,而歐盟亦正醞釀推行統一的出借權制度。依據法源的不同,PLR在實施上會有不同的做法。目前已實行PLR的28國,其立法基礎大致可分為三類:(1) 根據著作權法中租借權的授權,如德國、澳洲;(2) 根據著作權法外的補償權,如英國;(3) 或是透過地方文化機構的補助。 所謂「公共出借權」或稱「公共借閱權」乃指圖書或其他媒體資料,透過圖書館出借給讀者,而衍生政府以補償金或酬金支給作家的一種權利,是一種權利補償金制度。這個制度經濟上的假設是圖書館的出借行為會對於著作在市場上的銷售產生不利的影響,從而減損了著作權人的收入。但因為圖書館出借圖書乃是整個著作權法促進文化發展下所必須的一環,因此,對於著作權人的特別犧牲加以補償。從文化政策的角度來看,是屬於國家對文化創造者所實施的保護與獎勵措施。而基於圖書館對社會大眾提供免費服務的信念,實施公共出借權的國家,皆以政府經費或另設基金的方式來運作,並未直接向圖書館使用者要求收費,也並非以圖書館經費來支應給予作者的報酬。
M2M時代下的資料保護權利之進展-歐盟與日本觀察 歐洲資料保護監督官12月7日發表正式意見,針對歐盟執委會就AFSJ大型資訊技術系統設立作業管理機構之立法計畫,提出隱私保護法律要求歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。