Надзорният орган написа в прессъобщение, че няма правомощия да обезщетява лица, подали жалба до него
Френският орган за защита на данните Commission Nationale de l’Informatique et des Libertés (CNIL) на 28 май 2026 г. съобщи, че на IQVIA OPERATIONS FRANCE е наложена глоба от 5 милиона евро, по-специално защото не спази гаранциите, насочени към ограничаване на рисковете за физическите лица при управлението на хранилища за здравни данни.
Компанията IQVIA OPERATIONS FRANCE, дъщерно дружество на групата IQVIA, предоставя консултантски услуги и провежда проучвания за своя сметка или от името на фармацевтични лаборатории (проучвания, фокусирани върху някои заболявания или прилагани лечения).
За да извърши тези проучвания, организацията разчита на две хранилища за здравни данни, създадени от CNIL:
- Складът на LRX, оторизиран през 2018 г., е предоставен от данни, събрани от около 14 000 аптеки;
- Складът за електронни медицински карти (EMR), оторизиран през 2021 г., е снабдявал с данни, събрани от няколко хиляди лекари.
Както при всички заявления за здравни разрешения, които обработва (539 случая през 2025 г.), CNIL изисква редица гаранции за ограничаване на рисковете за лицата и зачитане на техните права. Всъщност здравните данни, обхванати от тези хранилища, са особено чувствителни и трябва да се ползват от засилена защита.
След излъчването на репортаж от списание „Cash Investigation“, CNIL получи няколко оплаквания от лица и асоциации, по-специално относно липсата на прозрачност при обработката на данни, извършвана за пациентите. Поради това CNIL извърши няколко проверки както на компанията, така и на някои партньорски аптеки.
Въз основа на констатациите, направени по време на тези проверки, органът на CNIL, отговорен за налагането на санкции – счете, че компанията не е спазила условията на издадените разрешения, по-специално по отношение на информацията на физическите лица, упражняването на техните права и сигурността на данните.
За всички тези нарушения се налага глоба от 5 милиона евро на IQVIA OPERATIONS FRANCE, като са взети предвид сериозността на установените нарушения, които включваха здравни данни и следователно чувствителни данни, големия брой засегнати лица (десетки милиони), пазарната позиция на компанията и нейния финансов капацитет. Това решение е оповестено публично.
CNIL също така издава заповеди, с които се изисква от компанията да предприеме мерки за отстраняване на определени нарушения в рамките на шест месеца, подлежащи на глоба от 10 000 евро на ден забава.
Като част от процедурата по налагане на санкции и в отговор на решение, издадено от Съда на Европейския съюз на 4 септември 2025 г. (известно като „решението по делото SRB“), IQVIA твърди, че данните, съдържащи се в хранилищата за данни LRX и EMR, са анонимни и следователно правилата за защита на данните не се прилагат.
Ограниченият комитет, напротив, счете, че тези данни не са анонимни, а само псевдонимизирани, тъй като повторното идентифициране на субектите на данни е възможно с помощта на разумни средства, пише в саобщението.
IQVIA събра огромно количество данни за засегнатите лица, като например година на раждане, пол, информация относно общопрактикуващия лекар и издадените рецепти, както и – за хранилището за данни на EMR – семейно положение, брой деца, социално-икономически статус и различни подробности, свързани със здравето (диагноза, симптоми, алергии, тегло, ръст, пулс, ваксинации, тестове и болнични).
Във всяко хранилище за данни тези данни бяха свързани с уникален идентификатор за всеки пациент, което направи възможно проследяването на процеса на лечение.
Ограниченият комитет установи, че рискът от идентифициране на самоличността на дадено лице е твърде висок, за да се считат данните, обработвани от компанията, за анонимни, предвид следното:
– наличието на уникален идентификатор;
– дълбочината на данните, събрани от компанията;
– възможността за идентифициране на лица чрез комбиниране на данни, съхранявани от IQVIA, с публично достъпни данни.
Освен това, то припомни, че преди решението на SRB, компанията никога не е оспорвала, че обработва лични данни, и че в това отношение е поискала и получила разрешения от CNIL, които е длъжна да спазва.
Нарушения на задължението за спазване на разрешенията, издадени от CNIL (член 66 от френския Закон за защита на данните)
Френският Закон за защита на данните (член 66.III) предвижда, че обработката на лични данни в здравния сектор може да се извършва само след разрешение от CNIL или при условие че е в съответствие с референтна рамка (член 66.II).
Въпреки че IQVIA беше упълномощена от CNIL да създаде хранилищата за здравни данни LRX и EMR, проведените разследвания разкриха, че на практика извършените операции по обработка не са отговаряли на условията, определени в издадените разрешения.
Поради това ограничената комисия отбеляза, че изискванията за сигурност не са били спазени. Например, и за двете хранилища за данни не е имало мярка, която да позволява редовен анализ на регистрационните файлове за връзки и по този начин ефективно откриване на необичайни дейности. За хранилището за данни EMR не е внедрено многофакторно удостоверяване за достъп до данни.
И за това хранилище за данни, ограничената комисия установи:
– неточности в информацията, предоставена в информационния лист за пациента;
– липсата на прилагане на процедура, която да позволява на лицата ефективно да упражняват правото си на възражение.
Компанията е демонстрирала, че след провеждането на проверките е отстранила нарушенията, свързани със сигурността и поверителността на данните. Нарушенията, свързани с информацията, съдържаща се в бележката от електронен документ за управление (EMR), и упражняването на правото на възражение обаче са били предмет на разпореждания, изискващи от компанията да предприеме коригиращи мерки в рамките на максимум 6 месеца, като в противен случай ще трябва да заплати неустойка.
Неинформиране на лица относно хранилището за данни LRX (член 14 от GDPR)
Разследвания, проведени в четири аптеки, разкриха, че никоя от тях не е информирала клиентите си, че данните им се прехвърлят към IQVIA.
Ограниченият комитет отбеляза, че макар компанията да е възложила на фармацевтите, които са единствените в пряк контакт със субектите на данни, задачата да предоставят тази информация от нейно име, IQVIA, като администратор на данни, всъщност е задължение да осигури спазването на това задължение.
Ограниченият комитет също така констатира две други нарушения:
– първото се отнася до проучвания, проведени от компанията от свое име, използвайки това хранилище за данни извън каквато и да е правна рамка (член 66 от френския Закон за защита на данните);
– Второто се отнася до дизайна на софтуера за управление, използван в аптеките, който предава данни за клиентите на IQVIA, дори в случаи на отказ (член 25 от GDPR).
Ролята на CNIL по отношение на жалбоподателите
CNIL е органът за защита на данните. Той отговаря на запитвания от физически лица и професионалисти.
Всеки може да подаде жалба до CNIL, ако срещне трудности при упражняване на правата си или да съобщи за нарушение на правилата за защита на данните. CNIL може да извършва разследвания на организации и в случай на нарушения може да реши да наложи санкции.
CNIL обаче няма правомощия да обезщетява лица, подали жалба до нея. Такива лица могат да подадат жалба в полицията.


