Motifs justifiant le traitement de données médicales
Le traitement de données à caractère personnel est seulement autorisé si des motifs particuliers le justifient. En cas de données médicales sensibles, des conditions supplémentaires s'ajoutent aux exigences générales de la protection des données. L'aide à l'orientation présente les motifs de justification pertinents pour la pratique et de possibles dérogations à l'aide d'exemples concrets (partie 2 A.I de l'aide à l'orientation (en allemand) (PDF, 3 MB)). Elle décrit en particulier les exigences relatives au consentement de la personne concernée, qui est extrêmement importante dans la pratique, et présente les bonnes pratiques correspondantes.
Mesures organisationnelles concernant la protection des données médicales
Les entreprises gérant des données médicales sensibles doivent assurer des mesures organisationnelles afin de garantir la protection de ces données. Les employés doivent s'engager à respecter la confidentialité des données et les entreprises doivent élaborer une liste de tous les processus de traitement des données. L'une des exigences essentielles est la nomination d'un délégué chargé de la protection des données qui conseille l'entreprise en matière de protection des données et entretient le contact avec les autorités de contrôle responsables (partie 2 A.II de l'aide à l'orientation (PDF, 3Mo)).
Une analyse d'impact relative à la protection des données fondée sur la prise en compte du risque doit permettre de décider des mesures spécifiques à prendre. L'aide à l'orientation présente la procédure nécessaire en la matière et fait référence à d'autres guides et exemples d'application pratiques (partie 2 A.VI de l'aide à l'orientation (en allemand) (PDF, 3 MB)).
Mesures destinées à préserver les droits des utilisateurs
Les utilisateurs concernés se voient garantis différents droits afin de protéger leurs données. Tout d'abord, ils doivent être informés par les entreprises sur le traitement de leurs données dans une déclaration sur la protection des données. Par ailleurs, les utilisateurs concernés peuvent demander des renseignements sur leurs données et/ou exiger la correction ou suppression de leurs données. Ils peuvent s'opposer (totalement ou en partie) au traitement ultérieur de leurs données et exiger leur transmission à un autre fournisseur. Lorsque des entreprises développent des produits, elles doivent donc veiller à ce que ces produits respectent aussi les droits des utilisateurs. En plus des explications sur les droits spécifiques des personnes concernées et de leur importance, l'aide à l'orientation contient à cet effet aussi des propositions de concepts correspondants (partie 2 A.III de l'aide à l'orientation (en allemand) (PDF, 3 MB)).
Prescriptions en matière de sécurité des données
Dans le domaine de la santé, la sécurité des données a une importance particulière. Les personnes concernées et le public réagissent d'une manière particulièrement sensible en cas de violations de données. Le règlement général sur la protection des données (DSGVO) concrétise de manière contraignante le niveau de protection nécessaire. L'aide à l'orientation explique de manière détaillée ces prescriptions et des exemples de mesures de sécurité adaptées et présente également une procédure et les exigences liées en cas de violations de données. Elle indique par ailleurs d'autres directives d'autorités et d'associations de protection des données (partie 2 A.IV et A.V de l'aide à l'orientation (en allemand) (PDF, 3 MB)).