欧洲数据保护委员会(EDPB)今年早些时候发布了一份文件,以响应欧洲委员会澄清在科学卫生研究领域申请GDPR澄清的要求,您可以阅读 这里。  但是,重要的是要注意,艾普布目前正在准备有关为科研目的处理个人数据处理的准则,该学习目的被设定为今年晚些时候发布,这将包括进一步的详细信息。

用于处理健康相关数据的法律依据,以进行科学研究的目的

欧洲委员会向艾德申请提出了一个关于适当法律基础的艾滋病措施,以何时处理个人数据以获得科研目的。欧洲委员会特别兴趣了解两个主要问题:GDPR法律基础的互动与获取临床试验同意的要求,以及是否要求为成员国或欧盟法律奠定基础,一个控制器是否可以依赖多个法律基础,以便在若干会员国进行的单一研究项目。

EDP​​B的反应指出,需要知情同意参加科研的道德标准可以与明确同意区别化,以处理特殊类别的个人数据。它澄清说,他们是不同的概念,并同意进行临床试验并不相同(不应持有与处理特殊类别的个人数据类别的同意。

此外,关于科学研究的法律基础,EDPB指出,当在多个成员国进行科学研究项目时,他们赞同所有成员国的使用相同的法律基础,以处理个人数据(包括特殊类别个人数据)与项目相关联。但是,他们认识到,由于要求与一些法律基础有关的基础成员国或欧盟法律(例如法律义务(第6(1)(C)),公众对公众领域的原因健康(第9(2)(i))和科学研究(第9(2)(J)),这可能并不总是可能,异构法律基础可能更为合适。

进一步处理先前收集的健康数据

EDP​​B还概述了以对科学研究目的处理先前收集的健康数据的可能性,通过依赖于与原始目的的兼容性使用推定。例如,这可能意味着控制器可以依赖个人对未来研究的原始同意,而无需定义研究,只要他们的研究与原始数据处理的目的(获得所获得的同意书)的目的而定义。但是,此时,艾普布表示将在其即将到来的指导方针中提供具体指导。直到此时,我们从先前发布的指导中知道,进一步处理以前在未来的科学研究项目中收集的健康数据:

  • 要求必须使用足够的保障(如Pseudonamisation)处理个人数据(第89(1)条GDP);和
  • 如果第9条豁免依赖于工艺的原始目的,但最终没有申请为科研目的加工个人数据,研究人员必须依赖于不同的第9条豁免。

广泛同意

欧洲委员会要求EDPB如果“广泛同意”的概念适用于处理科学研究的特殊类别的个人数据。虽然“广泛同意”未出现在GDPR中,但EDPB将从学历33获取其理解。首33个指出在收集数据时无法准确规定科研数据的目的,它应该是可以从受影响的数据主题获得有效同意,从而允许更大的灵活性。但是,艾普布强调,它需要更详细地看待这个概念,但它确实必须采取足够的保障措施来确保研究项目过程中的加工透明度,并确保几乎符合同意的具体要求可能的。

EDP​​B还指出,对于原则,应将启动33不应用作异常或作为解决方法,因为必须以明确的方式说明处理目的,并且应尽可能详细。因此,他们确认了“广泛同意”不能要求并依赖于“任何类型的健康数据”– unspecified –未来的研究目的'。

数据处理的透明度:要提供给数据主题的信息

作为其透明度义务的一部分,GDPR要求控制器通知数据受试者处理其个人数据的处理。第14(5)条(b)GDPR确实豁免了这一要求,如果证明不可能或要求不成比例的努力,以告知数据主题进一步处理其个人数据的研究目的。

eDPB澄清说,控制器最初从数据主体收集数据的情况下,该豁免不适用于数据主题,因为控制器必须在数据收集点采取适当的措施,以确保如果有进一步处理研究,他们可以满足任何进一步的信息要求目的。

第89(1)篇GDPR下的匿名,假名匿名和其他保障措施

EDP​​B通过应用各种匿名化技术,对实现(并继续实现)个人数据的匿名化表示令人担忧。这种关注的基础是由于可用技术的持续进步。 EDP​​B还指出,匿名遗传数据的可能性仍然是一个未解决的问题。

EDP​​B还认识到需要进一步澄清在第89(1)条第89(1)条根据科学研究目的的数据处理方面的背景下,因为他们认识到这件事缺乏指导。

下一步

虽然EDPB的回应是对围绕GDPR,控制器和处理器的各种问题获得一些苛刻的澄清的良好起点,但现在必须等待即将到来的eDPB关于为科学研究目的加工处理个人数据的指南,希望澄清一些留下的不确定性。我们将在发布后不久,我们将遵循这支指导和博客的思考。