Через пять лет
Пять лет назад журналистское расследование выявило, что компания IQVIA собирала данные клиентов из более чем 14 000 аптек, часто без их ведома. По итогам проверок CNIL наложила на компанию штраф в размере 5 миллионов евро за эти нарушения, а также за недостатки в реализации прав клиентов и обеспечении безопасности данных.
В 2021 году в центре внимания СМИ оказалась проблема сбора персональных данных компанией IQVIA через многочисленные аптеки без надлежащего информирования клиентов или предоставления им права на возражение. Еще в 2018 году CNIL разрешила IQVIA создать хранилище медицинских данных LRX для исследований и оценки, пополняемое данными примерно из 14 000 аптек. Тогда CNIL объясняла свое решение и обещала проводить проверки. Теперь, пять лет спустя, орган по защите данных обнародовал свои выводы, оштрафовав IQVIA на 5 миллионов евро.
Проверки CNIL охватили не только хранилище медицинских данных LRX, но и хранилище EMR, которое CNIL разрешила в феврале 2021 года (за несколько месяцев до выхода упомянутого журналистского расследования). Это второе хранилище пополняется данными, собранными у 2 000 – 3 000 врачей, согласно постановлению CNIL (около 2 000 по заявлениям компании во время проверки CNIL и 3 000 согласно рекламной брошюре, изученной органом).
Основная проблема, которую выявило журналистское расследование в отношении LRX после проверок в 200 аптеках, заключалась в том, что фармацевты не информировали своих клиентов, как того требовал закон. Таким образом, клиенты не могли возражать против сбора и обработки своих данных.
Докладчик CNIL пришел к тому же выводу в четырех парижских аптеках, участвующих в проекте LRX: «ни одна из них не предоставляла эту информацию». Он посчитал, что «имеет место нарушение статьи 14 GDPR, которое вменяется компании IQVIA как контроллеру данных». Ограниченный состав CNIL подтвердил, что как контроллер данных IQVIA обязана «обеспечить соблюдение возложенных на нее GDPR обязанностей, включая информирование лиц, чьи данные содержатся в хранилище, об осуществляемой обработке в соответствии со статьей 14 GDPR».
Псевдонимизация не освобождает от обязательств по GDPR
В ходе расследований CNIL компания IQVIA утверждала, что данные в ее хранилищах LRX и EMR являются анонимными, и, следовательно, требования GDPR и закона об информационных технологиях и свободах к ним неприменимы, а разрешения, выданные CNIL, фактически утратили силу. IQVIA считала, что с учетом псевдонимизации данных в хранилищах LRX и EMR, средства, которые IQVIA пришлось бы использовать для повторной идентификации лиц, были бы либо неразумными, либо незаконными, и пришла к выводу, что рассматриваемые данные не должны считаться персональными с ее точки зрения.
Однако CNIL пришла к выводу, что примененная IQVIA псевдонимизация не обеспечивает анонимизацию данных. Во-первых, орган указал на использование уникального идентификатора. Что касается хранилища LRX, каждому клиенту аптеки присваивается уникальный идентификатор, который остается неизменным независимо от того, в какую партнерскую аптеку он обращается. Этот код, связанный с данными о выдаче продуктов, позволяет объединять все покупки, сделанные одним и тем же клиентом в любой партнерской аптеке IQVIA. Что касается хранилища EMR, каждый пациент также имеет уникальный идентификатор для данного врача. Хотя данные от разных врачей не могут быть сопоставлены для одного и того же пациента, компания, тем не менее, может отслеживать с помощью этого кода путь каждого пациента в рамках одной и той же практики.
CNIL также пояснила, что данные включали информацию о местонахождении, «позволяющую определять местоположение пациентов по географическим зонам, состоящим из групп девяти аптек и пяти врачей одной и той же специальности».
Орган считает, что «тот факт, что каждый пациент имеет уникальный идентификационный код, к которому привязаны многочисленные данные, такие как возраст, пол, все полученные рецепты и географическое положение, чтобы компания могла отслеживать его путь лечения во времени, означает, что компания может легко выделить каждого человека, и рассматриваемая обработка не выдерживает риска индивидуализации».
Орган также отметил, что IQVIA никогда не оспаривала факт обработки персональных данных до так называемого решения «SRB», вынесенного 4 сентября 2025 года Судом Европейского союза. Более того, компания запрашивала (и получила) разрешения на автоматизированную обработку персональных данных для обоих хранилищ.
Несанкционированные исследования на основе этих данных и программное обеспечение, передающее данные без согласия
Однако CNIL пошла дальше, проверив соблюдение компанией обязательств, включенных в разрешения для обоих хранилищ. Докладчик обнаружил, что IQVIA проводила несанкционированные исследования данных, содержащихся в хранилище LRX, для своих собственных целей, не имея на это разрешения.
В ходе своих расследований докладчик CNIL также обнаружил, что IQVIA заказала другой компании разработку программного обеспечения для управления аптеками, и что модули извлечения данных, встроенные в это программное обеспечение, «систематически передавали данные пациентов первому доверенному третьему лицу [компании-субподрядчику], даже для аптек, не участвующих в проекте LRX», что является нарушением статьи 25 GDPR.
Хотя CNIL наложила штраф в 5 миллионов евро за все эти нарушения, докладчик посчитал, что «с учетом последних сведений, предоставленных компанией», предписание «более не требовалось в отношении нарушений, связанных с безопасностью и конфиденциальностью данных». Орган последовал этой рекомендации, хотя конкретные принятые меры не разглашаются.
Однако в отношении остальных вопросов CNIL отметила, что «с начала процедуры компания не предоставила никаких доказательств, позволяющих считать, что она приняла или даже начала принимать меры для обеспечения своего соответствия требованиям». Таким образом, CNIL сопроводила свое решение предписанием и ежедневным штрафом в размере 10 000 евро за каждый день просрочки по истечении шестимесячного срока после уведомления о постановлении.
Как и в случае с любым решением CNIL, IQVIA имеет право обжаловать его в Государственном совете в течение двух месяцев с момента уведомления.