Zagrożenie zdrowia ludzkości spowodowane COVID-19 doprowadziło do podjęcia współpracy przez globalną społeczność naukową na niespotykaną dotąd skalę. Współpraca ta ma na celu pilne opracowanie skutecznej szczepionki. Biorąc jednak pod uwagę tempo rozpowszechniania danych i oparcie działań na otwartej nauce (open science), w połączeniu z wrażliwym charakterem tych danych, szybko pojawiły się poważne obawy dotyczące zapewnienia ich odpowiedniej ochrony.
RODO określa szczegółowe zasady przetwarzania danych zdrowotnych do celów badań naukowych, które mają również zastosowanie w kontekście pandemii COVID-19. Europejska Rada Ochrony Danych ( EROD ) opublikowała niedawno wytyczne 03/20 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście COVID-19. Jednocześnie EROD podkreśliła, że wytyczne te są jedynie wprowadzeniem do bardziej szczegółowych wytycznych w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych, które stanowią część rocznego planu prac EROD i nie koncentrują się na kwestii przetwarzania danych osobowych do celów nadzoru epidemiologicznego.
Wytyczne mają na celu wyjaśnienie najpilniejszych kwestii, takich jak:
- podstawa prawna przetwarzania danych,
- wdrożenie odpowiednich zabezpieczeń do celów przetwarzania tych danych,
- wykonywanie praw osób, których dane dotyczą,
- sposobu w jaki przetwarzane dane mogą być legalnie przekazywane do kraju z poza EOG w celu przeprowadzenia badań naukowych związanych z COVID-19.
Podstawa prawna przetwarzania
W każdym przypadku przetwarzanie danych osobowych dotyczących zdrowia musi być zgodne z zasadami przetwarzania określonymi w art.5 RODO oraz z co najmniej jedną z podstaw prawnych określonych w art. 6 i art. 9 RODO. Jednocześnie EROD wskazuje, że można powoływać się na szereg podstaw prawnych do przetwarzania danych dotyczących zdrowia w kontekście COVID-19. EROD udzieliła już w tym zakresie stosownych wytycznych w kontekście badań klinicznych.
Przykładowo naukowcy (działając jako administratorzy danych) mogą opierać się na wyraźnej zgodzie osoby, której dane dotyczą, na przetwarzanie danych dotyczących zdrowia, zebranej zgodnie z art. 6 ust. 1 lit. a) i art. 9 ust. 2 ( a) RODO. EROD wskazuje jednak, że w tym wypadku zgoda musi spełniać wszystkie przesłanki wyraźnej zgody.
To nie jedyna podstawa przetwarzania – EROD wskazuje, że naukowcy mogą powoływać się również na :
art. 6 ust. 1 lit. e) RODO (zadanie realizowane w interesie publicznym) lub
na art. 6 ust. 1 lit. f) (uzasadnione interesy administratora danych) w połączeniu z art. 9 ust. 2 lit. j ) (do celów badań naukowych) lub art. 9 ust. 2 lit. i) RODO (względy interesu publicznego w dziedzinie zdrowia publicznego).
Prawa osób, których dane dotyczą
EROD zauważa, że wybuch pandemii COVID-19 nie skutkuje ograniczeniem ani zawieszeniem praw osób, których dane dotyczą, na mocy art. 12–22 RODO. Jednak art. 89 ust. 2 RODO pozwala prawodawcy krajowemu ograniczyć niektóre prawa tej osoby w przypadku przetwarzania danych osobowych do celów badań naukowych.
Ponadto niektóre ograniczenia praw osób, których dane dotyczą, mogą opierać się bezpośrednio na RODO, takie jak prawo do bycia zapomnianym, które jest ograniczone w kontekście badań naukowych, w których wykonywanie tego prawa może uniemożliwić lub poważnie pogorszyć osiągnięcie celów tego przetwarzania (art. 17 ust. 3 lit. d RODO).
Międzynarodowe transfery danych
EROD przewiduje, że w kontekście skali rozprzestrzeniania się COVID-19 dane dotyczące zdrowia będą przekazywane do celów badań naukowych, transgranicznie zarówno w EOG, jak i poza nią. W przypadku braku decyzji stwierdzającej odpowiedni poziom ochrony zgodnie z art. 45 ust.3 RODO lub odpowiednich gwarancji zgodnie z art. 46 RODO, organy publiczne i podmioty prywatne mogą „tymczasowo ze względu na pilność sytuacji medycznej na świecie” polegać na odstępstwach przewidzianych w art. 49 RODO w celu uzasadnienia przekazywania danych poza EOG lub organizacji międzynarodowych. W tym wypadku mogą mieć zastosowanie odstępstwa określone w art. 49 ust. 1 lit. d) (przekazanie jest konieczne z ważnych względów interesu publicznego) i lit. a) (wyraźna zgoda).
Jednak chociaż charakter kryzysu COVID-19 może uzasadniać odstępstwa w przypadku transferów danych przeprowadzanych w celu badań naukowych, w przypadku powtarzalnego przekazywania danych do państw trzecich w ramach długotrwałego projektu badawczego, wymagane będą odpowiednie zabezpieczenia zgodnie z art. 46 RODO.
Bezpieczeństwo
EROD w świetle wysokiego ryzyka związanego z przetwarzaniem danych dotyczących zdrowia w kontekście COVID-19, podkreśla konieczność zapewnienia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w celu ochrony tych danych. Takie środki powinny „obejmować co najmniej pseudonimizację, szyfrowanie, umowy poufności, a także ścisły podział ról, ograniczenie ról dostępu i rejestry dostępu”. Ponadto należy przeprowadzić ocenę skutków dla ochrony danych. EROD zauważa, że środki przyjęte w celu ochrony danych powinny być udokumentowane w rejestrze czynności przetwarzania. Ponadto należy ustalić ramy czasowe przechowywania z uwzględnieniem kryteriów takich jak długość i cel badań.
Komentarz
EROD zamierza wydać bardziej szczegółowe wytyczne dotyczące przetwarzania danych zdrowotnych do celów badań naukowych w ramach swojego rocznego planu prac. Natomiast obecne wytyczne objaśniają kwestie związane ze zgodnością ochrony danych powstających dla badaczy podczas przetwarzania danych zdrowotnych w kontekście COVID-19. Oczywiste jest, że RODO nie przeszkadza w badaniach naukowych, ale umożliwia zgodne z prawem przetwarzanie danych zdrowotnych w celu znalezienia szczepionki lub leczenia COVID-19.
Aby uzyskać więcej informacji, skontaktuj się z naszym zespołem.