Francouzský úřad pro ochranu osobních údajů (CNIL) uložil společnosti IQVIA Operations France pokutu ve výši 5 milionů eur za porušení pravidel při provozu dvou autorizovaných zdravotnických datových skladů a současně jí nařídil odstranit zjištěné nedostatky do šesti měsíců. Rozhodnutí je zajímavé nejen vzhledem k citlivosti a rozsahu zpracovávaných údajů, ale také proto, že představuje jednu z prvních významných regulatorních aplikací rozsudku Soudního dvora Evropské unie ve věci EDPS v. SRB (C-413/23 P).
Skutkové okolnosti:
IQVIA Operations France provozuje dva zdravotnické datové sklady schválené CNIL:
LRX, který byl zřízen v roce 2018 a je naplňován daty přibližně od 14 000 lékáren;
EMR, autorizovaný v roce 2021, který čerpá data od několika tisíc lékařů.
Po kontrolách zahájených na základě stížností a mediálních informací dospěl CNIL k závěru, že společnost nedodržela několik podmínek stanovených v udělených povoleních. Zjištěná porušení se týkala zejména:
nedostatečného informování subjektů údajů;
nedostatků při umožnění výkonu práv subjektů údajů;
nedostatečných bezpečnostních opatření;
nedostatečného uplatnění zásady ochrany osobních údajů již při návrhu (privacy by design);
zpracování údajů mimo rámec platných povolení.
Vedle samotné pokuty CNIL společnosti nařídil uvést určité operace zpracování do souladu s právními předpisy do šesti měsíců. V případě nesplnění této povinnosti jí hrozí sankce ve výši 10 000 eur za každý den prodlení.
Pseudonymizace neznamená anonymizaci
Nejzajímavějším aspektem rozhodnutí je pravděpodobně argumentace společnosti IQVIA, podle níž data obsažená v databázích LRX a EMR byla anonymní, a tudíž se na ně obecné nařízení o ochraně osobních údajů (GDPR) nevztahovalo.
CNIL tento argument odmítl. Podle úřadu se jednalo pouze o pseudonymizované údaje, protože identifikace jednotlivců zůstávala při použití rozumně dostupných prostředků možná. Rozhodující význam měly zejména:
existence jedinečných identifikátorů pacientů;
rozsah a vysoká míra detailnosti shromažďovaných údajů;
možnost kombinovat údaje s veřejně dostupnými informacemi a tím jednotlivce identifikovat.
Datové sklady obsahovaly mimořádně rozsáhlé soubory informací, včetně údajů o předepisovaných léčivech, diagnózách, alergiích, symptomech, očkování, rodinném stavu, socioekonomických charakteristikách a dalších údajích o zdravotním stavu. Takové informace umožňovaly sledovat zdravotní historii pacientů a významně zvyšovaly riziko jejich opětovné identifikace.
První regulatorní aplikace rozsudku SRB
Ve svém veřejném shrnutí CNIL výslovně odkázal na rozsudek Soudního dvora Evropské unie ze dne 4. září 2025 ve věci EDPS v. SRB (C-413/23 P). Soud v tomto rozhodnutí zdůraznil, že při posuzování, zda se jedná o osobní údaje, je třeba vycházet z konkrétní schopnosti příjemce údajů identifikovat jednotlivce, nikoli z čistě teoretických možností.
CNIL aplikoval tuto argumentaci na projednávaný případ a dospěl k závěru, že prostředky, které měla společnost IQVIA k dispozici, umožňovaly opětovnou identifikaci jednotlivců rozumně dosažitelným způsobem. Dotčené informace proto nadále představovaly osobní údaje a zůstávaly v působnosti GDPR. Úřad je proto kvalifikoval jako pseudonymizované, nikoli anonymní údaje.
Proč je rozhodnutí důležité?
Rozhodnutí ve věci IQVIA potvrzuje, že pseudonymizace představuje významné bezpečnostní opatření podle GDPR, sama o sobě však automaticky nevyjímá údaje z působnosti předpisů o ochraně osobních údajů. Správci disponující rozsáhlými datovými soubory a zachovávající si praktickou možnost propojit údaje s konkrétními osobami se nemohou spoléhat na to, že pouhá pseudonymizace promění osobní údaje v údaje anonymní.
Rozhodnutí současně naznačuje, jakým způsobem mohou evropské dozorové úřady v budoucnu interpretovat a aplikovat principy vyplývající z rozsudku EDPS v. SRB. Přístup CNIL naznačuje, že regulátoři se budou i nadále zaměřovat především na praktickou stránku možnosti opětovné identifikace a na konkrétní prostředky, které má zpracovatel či správce údajů k dispozici.
Pro organizace provozující datová jezera, zdravotnické datové sklady, databáze pro trénování systémů umělé inteligence nebo rozsáhlé analytické platformy je vzkaz jasný: pseudonymizace snižuje rizika, ale sama o sobě nemusí proměnit osobní údaje v údaje anonymní.
