Podsumowanie
CNIL nałożyła karę na IQVIA OPERATIONS FRANCE w wysokości 5 milionów euro na mocy decyzji SAN-2026-008 z dnia 26 maja 2026 roku, opublikowanej 28 maja 2026 roku (posiedzenie ograniczone odbyło się 26 marca 2026 roku). Procedura dotyczyła dwóch magazynów danych medycznych zarządzanych przez francuską filię amerykańskiej grupy IQVIA: LRX, autoryzowanego w 2018 roku i zasilanego przez około 14 000 francuskich aptek, oraz EMR, autoryzowanego w 2021 roku i zasilanego przez kilka tysięcy lekarzy. Decyzja stwierdza, że przetwarzane dane dotyczą kilku dziesiątek milionów osób - rok urodzenia, płeć, recepty, diagnozy, objawy, alergie, elementy społeczno-zawodowe oraz unikalny identyfikator ścieżki leczenia. Regulator równocześnie nakłada obowiązek dostosowania się w ciągu sześciu miesięcy, pod groźbą kary 10 000 euro za każdy dzień opóźnienia, zgodnie z oficjalnym komunikatem CNIL. Firma zastrzega sobie prawo do odwołania się. Kara pozostaje poniżej pułapu 4% rocznego skonsolidowanego globalnego obrotu określonego w artykule 83 RODO.
Znaczenie wykraczające poza IQVIA: 102 operatorów dzieli tę samą architekturę
Na dzień 1 września 2025 roku, portal esante.gouv.fr odnotował 125 magazynów danych medycznych autoryzowanych przez CNIL, zarządzanych przez 102 różnych podmiotów - wydawców farmaceutycznych, instytucje badawcze publiczne, platformy ubezpieczeniowe, struktury szpitalne. Wszystkie opierają się na tej samej technologii: pseudonimizacji danych pacjentów przed ich wtórnym wykorzystaniem. Argumentacja przyjęta przez regulatora przeciwko IQVIA - pseudonimizacja nie jest równoznaczna z anonimizacją dla podmiotu posiadającego klucze - odnosi się do cechy architektonicznej, a nie szczególnego przypadku. CNIL już wcześniej uczyniła z danych medycznych wyraźny element swojej doktryny poprzez dedykowane projekty. Decyzja z 26 maja 2026 roku rozszerza tę doktrynalną podstawę na samą kwalifikację prawną i strukturalnie naraża każdego z pozostałych 101 operatorów, jako pierwotnego kontrolera posiadającego klucze do ponownej identyfikacji, na tę samą interpretację - pod warunkiem specyficznych technicznych architektur każdego urządzenia, czy to z przemysłu farmaceutycznego, ubezpieczeniowego czy badań publicznych.
Pseudonimizacja: element architektury w kontekście kwalifikacji pierwotnego kontrolera
Dla DSI, który zarządza magazynem, pseudonimizacja jest warstwą techniczną: zaszyfrowana tabela korespondencji z jednej strony, zestawy danych pochodnych z drugiej. Obrona IQVIA opierała się na tym rozdzieleniu, powołując się na orzeczenie TSUE C-413/23 P EDPS przeciwko SRB z 4 września 2025 - EDPS, europejski inspektor ochrony danych, przeciwko Jednolitej Radzie ds. Rozwiązywania Problemów, której reżim odniesienia (rozporządzenie 2018/1725, odpowiednik instytucjonalny RODO stosowany do instytucji Unii) jest tutaj identycznie stosowany. Trybunał w Luksemburgu orzekł, że pseudonimizacja jest statusem względnym dla obserwatora: tak długo, jak podmiot zachowuje klucze do ponownej identyfikacji, dane pozostają danymi osobowymi - kwalifikację tę CNIL przenosi na RODO poprzez równoległe definicje artykułów 4(1) i 4(5). „Środki pseudonimizacji mają jedynie na celu zmniejszenie ryzyka korelacji... ale nie ich eliminację”, uznała ograniczona formacja. Dla kierownika projektu magazynu konsekwencja architektoniczna jest jasna: tak długo, jak tabela korespondencji znajduje się w jego operacyjnym zakresie, reżim danych osobowych ma zastosowanie do całego systemu, a nie tylko do obszaru zawierającego jeszcze bezpośrednie identyfikatory. Do tej podstawy kwalifikacji dodaje się pięć udokumentowanych uchybień technicznych i proceduralnych: niewystarczające informowanie osób, których dane dotyczą, prawo do sprzeciwu w praktyce nieefektywne, brak uwierzytelniania wieloskładnikowego w magazynie EMR, nieprzeanalizowane regularnie dzienniki logowań, nieprawidłowe informacje - do tego dochodzi stwierdzenie, że żadna z kontrolowanych aptek nie informowała swoich klientów o przekazywaniu danych. Pozostaje pewna różnica w architekturze, którą wyraźnie wyraża orzeczenie SRB, a której decyzja CNIL nie rozstrzyga: jeśli odbiorca nie dysponuje środkami, które można by w rozsądny sposób wykorzystać do powiązania danych z identyfikowalną osobą, dane pseudonimizowane nie stanowią dla niego danych osobowych. Innymi słowy, dwa elementy tego samego łańcucha mogą podlegać różnym reżimom w zależności od ich dostępu do kluczy. Sankcja dotyczy IQVIA jako pierwotnego kontrolera; nie przesądza o reżimie stosowanym wobec stron trzecich, które otrzymują ekstrakty bez dostępu do tabeli identyfikacji.
Dwa regulatoryjne horyzonty definiują okno przygotowań zespołów technicznych
Dla DSI lub CTO zarządzającego magazynem obecnie, status odbiorców trzecich pozostaje zawieszony na dwóch terminach określających okno przygotowań operacyjnych. Rozporządzenie UE 2025/327 z 11 lutego 2025 ustanawiające Europejską Przestrzeń Danych Medycznych określa marzec 2029 jako datę wejścia w życie swojego komponentu dotyczącego wtórnego wykorzystania, który precyzyjnie zorganizuje techniczne warunki dostępu do danych pseudonimizowanych przez strony trzecie - badania akademickie, przemysł farmaceutyczny, władze publiczne. ActuIA szczegółowo opisała pięć kanonicznych przypadków użycia przyszłej EEDS już na etapie negocjacji tekstu. Dopóki ten komponent nie jest stosowany, reżim każdego wypływającego strumienia - ekstrakty, API stron trzecich, udostępnienia projektowe - pozostaje do rozstrzygnięcia na podstawie RODO oświeconego orzeczeniem SRB. Drugim horyzontem jest doktryna: Europejski Komitet Ochrony Danych (EDPB) zorganizował 12 grudnia 2025 roku wydarzenie dla interesariuszy związane z discussion paper, mające na celu integrację wkładu SRB w swoje wytyczne 01/2025 dotyczące pseudonimizacji. Decyzja SAN-2026-008 ustala reżim stosowany do kontrolera przetwarzającego posiadającego klucze; dla przepływów do stron trzecich bez dostępu do kluczy, wytyczne EDPB 01/2025 - których konsultacje publiczne zakończyły się pod koniec 2025 roku - dostarczą odpowiedzi, a ich finalizacja nastąpi zgodnie z normalnym harmonogramem 12 do 18 miesięcy po konsultacjach, czyli najwcześniej w 2027 roku.