Este necesar consimțământul explicit pentru utilizarea datelor cu caracter personal în scopuri de cercetare în domeniul sănătății
5 minute • Ana-Maria Udriste • 23 august 2018
După cum știm, la 25 mai 2018 a devenit aplicabil Regulamentul general pentru protecția datelor cu caracter personal (GDPR), act regăsit la nivelul Uniunii Europene care se aplică în mod direct în România (citește aici cum se va aplica GDPR în România în mo concret).
Ulterior, în România, prin Legea nr. 190/2018 s-au adus clarificări de aplicare a GDPR (despre care am scris mai multe pe larg aici). Unul din principalele amendamente se referă la necesitatea consimțământului expres al persoanei vizate pentru prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăţilor şi intereselor legitime ale persoanei vizate.
Ce înseamnă “cercetarea în domeniul sănătății”?
“Cercetarea în domeniul sănătății” este definită ca fiind una dintre următoarele cercetări științifice în scopul sănătății umane:
- cercetarea cu scopul de a înțelege funcționarea normală și anormală, la nivel molecular, celular, sistem de organe și la nivelul întregului corp;
- cercetări care se referă în mod specific la strategii, dispozitive, produse sau servicii inovatoare pentru diagnosticarea, tratarea sau prevenirea bolilor sau a rănilor umane;
- cercetarea cu scopul de a îmbunătăți diagnosticul și tratamentul (inclusiv reabilitarea și paliația) bolilor și leziunilor umane și de a îmbunătăți sănătatea și calitatea vieții persoanelor;
- cercetarea cu scopul de a îmbunătăți eficiența și eficacitatea profesioniștilor din domeniul sănătății și a sistemului de sănătate; și
- cercetarea cu scopul de a îmbunătăți sănătatea populației ca întreg sau a oricărei părți a populației printr-o mai bună înțelegere a modului în care factorii sociali, culturali, de mediu, profesionali și economici determină starea de sănătate.
Cercetarea în domeniul sănătății poate include de asemenea acțiuni întreprinse pentru a stabili dacă o persoană poate fi potrivită pentru includerea în tipurile de cercetare de mai sus.
Ce înseamnă ”instituirea unor măsuri corespunzătoare”?
Un operator care prelucrează sau prelucrează în continuare date cu caracter personal în scopuri de cercetare în domeniul sănătății trebuie să pună în practică următoarele “măsuri adecvate și specifice“:
(a) dispoziții care să garanteze că datele cu caracter personal nu sunt prelucrate într-o manieră care cauzează sau este susceptibilă să provoace daune sau suferințe persoanelor vizate;
(b) structuri de guvernanță adecvate, care includ: (i) aprobarea etică a cercetării în materie de sănătate de către un comitet de etică în domeniul cercetării (dacă există); (ii) specificarea operatorului implicat; (iii) respectarea de către operatorii asociați a articolului 26 din GDPR; (iv) specificarea tuturor persoanelor împuternicite; (v) specificarea oricărei finanțări a terților sau susținerea în alt mod a proiectului; (vi) specificarea oricărei alte persoane cu care se intenționează să împărtășească orice date cu caracter personal (inclusiv date pseudonimizate sau anonimizate) și scopul acestei partajări; și (vii) furnizarea de cursuri de formare în domeniul dreptului și practicilor privind protecția datelor persoanelor care desfășoară activități de cercetare în domeniul sănătății;
(c) următoarele procese și proceduri: (i) efectuarea unei evaluări a implicațiilor protecției datelor din cercetarea în domeniul sănătății; (ii) în cazul în care evaluarea indică un risc ridicat pentru drepturile persoanelor fizice, realizarea unei evaluări a impactului protecției datelor (DPIA – găsiți un model complet de efectuare a unei DPIA în KIT-ul nostru)): (iii) măsuri de minimizare a datelor (de exemplu, pseudonimizare); (iv) controale de acces pentru a împiedica consultarea, modificarea, dezvăluirea sau ștergerea neautorizată a datelor cu caracter personal; (v) loguri de audit; (vi) măsuri de securitate; (vii) anonimizarea, arhivarea sau distrugerea datelor cu caracter personal după finalizarea cercetării în materie de sănătate; și (vii) alte măsuri tehnice și organizatorice pentru a asigura conformitatea cu GDPR;
(d) modalitățile de asigurare a prelucrării transparente a datelor cu caracter personal;
(e) “consimțământul explicit” al persoanei vizate înainte de prelucrarea datelor sale cu caracter personal pentru un scop specific al cercetării în domeniul sănătății sau, mai general, în acest domeniu.
Ce înseamnă ”consimțământ explicit”?
În Orientările privind consimțământul, Grupul de Lucru al Articolului 29 prevede că termenul “explicit” înseamnă că persoana vizată trebuie să dea o declarație expresă de exprimare a consimțământului său. Regulamentul solicită obținerea unui consimțământ explicit în conformitate cu definiția formală a consimțământului GDPR în articolul 4 alineatul (11). Acordul trebuie, de asemenea, să îndeplinească condițiile specificate la articolul 7 din GDPR.
Vezi tot ce am scris despre GDPR aici.
- KIT implementare GDPR pentru DPO – toate documentele de care ai nevoie pentru a fi un DPO
- KIT implementare GDPR – fă-ți singur conformarea
- Consultanță GDPR
- DPO online (DPO as a service)
Ai nevoie de ajutor pe GDPR? Scrie-ne!
[wpforms id=”13083″]