Implementace GDPR. v oblasti výzkumu. General Data Protection Regulation. Šárka Špeciánová

Transkript

1 Rapid Flexible Solid Implementace GDPR. v oblasti výzkumu Šárka Špeciánová General Data Protection Regulation Výzkumné prostředí a specifika v oblasti zpracování os. údajů dle současné právní úpravy a dle GDPR Pravidla pro zpracování os. údajů v oblasti výzkumu Vztahy se zpracovateli os. údajů a dopady na ně Nová práva subjektů a jejich implementace Souhlas se zpracováním os. údajů v oblasti výzkumu (při provádění KHL, při genetickém výzkumu) Vliv GDPR na procesy a uspořádání ve farm. firmě Tipy a doporučené postupy pro implementaci GDPR 1

2 Telefonická objednávka pizzy v roce 2027 v rámci EU osobní a lokační údaje Pizzaservis: Dobrý den! Děkujeme, že jste zavolali Pizzeriu Volcano. Můžeme... Zákazník: Dobrý den, rád bych si něco objednal. P: Můžete mi nejdříve povědět Vaše NIDC? Z: Moje Národní Identifikační číslo je,. malý moment P: Děkujeme, pane Haluška. Bydlíte v Růžové ulici 25 a Vaše telefonní číslo je Vaše číslo do zaměstnání ve firmě Rourky a trubičky s.r.o. je , klapka 47. Zpracování zvláštních kategorií osobních údajů zdravotní stav (čl. 9) Z: Chtěl bych si objednat dvě z Vašich speciálních pizz s extra porcí masa. P: To by pro Vás nebylo vhodné. Z: Prosím? P: Podle Vašich lékařských záznamů máte vysoký krevní tlak a extrémně vysokou hladinu cholesterolu. Vaše zdravotní pojišťovna by Vám Vaši velmi nezdravou volbu jídla určitě nepovolila. 2

3 Společenská (rodinná) identita identifikované osoby (čl. 4 odst. 1) Z: Vezmu si teda tyto dvě pizzy, rodinnou velikost prosím. Kolik mě ten špás bude stát? P: Výborně, to by mělo pro Vás, Vaši manželku a Vaše čtyři děti stačit. Ten špás, jak jste to nazval, Vás vyjde na 4O euro. Z: Dám Vám číslo své kreditní karty. P: Je nám líto, ale budete muset zaplatit v hotovosti. Úvěrový rámec Vaší kreditní karty jste přečerpal před 12 dny. Ekonomická identita identifikovaného subjektu Z: Jednoduše ty pizzy pošlete. Peníze budu mít připravené. Jak dlouho to bude trvat? P: Odhadujeme to zhruba na 30 minut. Pokud ale spěcháte, můžete si pro pizzy přijet a vyzvednout je osobně, když budete mít peníze. Ale myslím si, že transport rodinných pizz na motorce není příliš pohodlný. Z: Odkud víte, že jezdím na motorce? P: Je tu poznámka, že jste přestali splácet Vaše auto. Ale motorku už máte splacenou, takže předpokládám, že ji používáte. 3

4 Zpracování os. údajů týkajících se rozsudků v trest. věcech a trest. činů Z: Ale teď jste mě už fakt nasrali, vy... P: Dávejte si laskavě pozor na jazyk, pane! Kvůli urážce na cti státního úředníka jste už byl v roce 2009 trestaný. Z: - lapá po dechu P: Přejete si ještě něco? Z: Ne, děkuji. Vlastně ano, nezapomeňte mi přibalit ty dva litry Eurocoly zadarmo, jak to slibujete v reklamě! P: Je mi líto, ale vylučovací doložka k EU normě č. Y236 Z /2010 výdej slazených nápojů zadarmo diabetikům přísně zakazuje... GDPR nařízení schválené EP roky vyjednávání od nahrazuje dosavadní směrnici 95/46 ES a zákon č. 101/2000 Sb., o ochraně osobních údajů Čl. 94 odst. 2 odkazy na zrušenou směrnici se považují za odkazy na toto nařízení novelizace zákona č. 101/2000 Sb. procesní norma upravující fungování Úřadu na ochranu osobních údajů 4

5 GDPR právo osob na lepší kontrolu nad jejich osobními údaji harmonizace pravidel pro 28 států EU a EFTA zemí (Norsko, Island a Lichtenštejnsko) bude tak zrušeno 31 národních zákonů nařízení se vztahuje na zpracování os. údajů správcem, který není usazen v EU, ale zpracovává os. údaje v EU nařízení se vztahuje na zpracování os. údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU, bez ohledu na to, zda zpracování probíhá v EU či mimo EU nařízení se vztahuje na zpracování os. údajů subjektu údajů z EU správcem nebo zpracovatelem, který není usídlen v EU GDPR konzistentní právní úprava spolupráce regulatorních orgánů rovnocenná vymahatelnost práva stejné sankce ve všech státech EU 5

6 Faktory, na nichž závisí výše smluvní pokuty povaha, závažnost a délka porušení s přihlédnutím k povaze, rozsahu či účelu zpracování, zavinění ve formě úmyslu či nedbalosti, počet dotčených subjektů a míra škody, kroky podniknuté správcem a zpracovatelem ke zmírnění škod, předchozí porušení, míra odpovědnosti s přihlédnutím na technické a organizační opatření, míra spolupráce s dozorovým úřadem za účelem nápravy, kategorie dotčených osobních údajů, způsob, jakým se dozorový úřad dozvěděl o porušení. Obecné podmínky pro ukládání správních pokut každý dozorový úřad zajistí, aby ukládání správních pokut při porušení tohoto nařízení bylo v každém jednotlivém případě účinné, přiměřené a odrazující pokud správce či zpracovatel u stejných nebo souvisejících operací zpracování poruší více ustanovení nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení 6

7 Nápravné pravomoci dozorového úřadu Nápravné pravomoci ukládané namísto nebo společně se správní pokutou: upozornit na pravděpodobné porušení nařízení, udělit napomenutí, nařídit, aby správce či zpracovatel vyhověl žádosti subjektu údajů o výkon jeho práv, nařídit, aby operace byly uvedeny do souladu s nařízením, nařídit, aby správce subjektu údajů oznámil případy porušení zabezpečení osobních údajů, uložit dočasné nebo trvalé omezení zpracování, včetně zákazu,.. (neúplný výčet). Výše sankce dle nařízení 20 mil EUR nebo u podniku až do výše 4% celkového ročního obratu celosvětově za předchozí finanční rok 10 mil EUR nebo u podniku až do výše 2% celkového ročního obratu celosvětově za předchozí finanční rok Při stanovení výše sankce se vychází z vyšší finanční hodnoty 7

8 Pravidla ČS pro jiné sankce ČS (členské státy) stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení nařízení, zejména za porušení, na něž se nevztahují správní pokuty definované nařízením a učiní veškerá opatření nezbytná k zajištění jejich uplatňování sankce musí být účinné, přiměřené a odrazující Osobní údaje ve výzkumném prostředí identifikovaná a identifikovatelná fyzická osoba osobní údaj: veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě, zejména odkazem na jeden či více zvláštních prvků fyzické, fyziologické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby obrazové a slovní informace, rentgenové snímky 8

9 Posouzení identifikovatelnosti osoby při posuzování, zda je fyzická osoba identifikovatelná, se přihlíží ke všem prostředkům (např. výběr vyčleněním), o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci fyzické osoby ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i technologickému rozvoji Pseudonymizace zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě os. údaje, na něž byla uplatněna pseudonymizace a které by mohly být přiřazeny fyz. osobě na základě dodatečných informací považovány za informace o identifikovatelné fyzické osobě 9

10 Účel pseudonymizace pseudonymizace omezuje rizika pro dotčené subjekty údajů a napomáhá správcům a zpracovatelům plnit povinnosti týkající se ochrany údajů Nařízení se nevztahuje na: osobní údaje zesnulých osob, anonymizované údaje subjekt přestal být identifikovatelný, anonymní údaje netýkají se identifikované či identifikovatelné fyzické osoby. ČS mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob. Nařízení se netýká zpracování anonymních informací, včetně zpracování pro statistické nebo výzkumné účely. 10

11 Zpracování osobních údajů Jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících ve: shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv zpřístupnění, seřazení či kombinování, omezení, výmaz nebo zničení. OSOBNÍ IDENTITA - vše, co osobu odlišuje od ostatních subjektů 11

12 Zvláštní kategorie os. údajů tzv. citlivé Osobní údaje vypovídají o: rasovém či etnickém původu, zdravotním stavu, sexuální orientaci. Osobní údaje o zdravotním stavu info o minulém, současném či budoucím tělesném nebo duševním zdraví, číslo či specifický údaj přiřazený osobě za účelem jedinečné identifikace pro zdravotnické účely. Informace získané během provádění testů nebo vyšetřování částí lidského těla nebo těl. látek. Jakékoliv informace o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě. Info pocházející od lékaře, jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro. Genetické údaje info o zděděných či získaných genet. charakteristikách, jedinečné informace o fyziologii nebo zdraví jedince, analýza chromozomů nebo DNA, RNA, anebo analýza jiného prvku, která umožňuje získat rovnocenné informace, rozsah zjištěných informací záleží na rozsahu analýzy biologického vzorku určuje správce. 12

13 Biometrické údaje osobní údaje vyplývající z konkrétního technického zpracování, vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám, dovolují nebo potvrzují jedinečnou identifikaci, snímky obličeje, daktyloskopické údaje, podpis, dynamický biometrický podpis, fotografie biometrický údaj pouze v případech, kdy jsou zpracovány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Pravomoci ČS ČS mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. 13

14 Zpracování osobních údajů pro vědecký výzkum nařízení se vztahuje na zpracování osobních údajů pro vědecký výzkum (zahrnuje technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů), cíl vytvoření evropského výzkumného prostoru, v zájmu dodržení specifických podmínek zpracování os. údajů pro vědecké účely by měly platit zvláštní podmínky pro zveřejňování nebo jiné zpřístupnění os. údajů v souvislosti s účely vědeckého výzkumu Pravidla pro zpracování os. údajů v oblasti výzkumu účel zpracování Účel zpracování zamýšlený výzkum v době shromažďování osobních údajů není možné v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu právo subjektů výzkumu udělit souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum (CIOMS) právo subjektů výzkumu udělit souhlas pouze pro některé oblasti výzkumu v rozsahu přípustném pro zamýšlený výzkum 14

15 Zpracování os. údajů pro jiné účely, než byly shromážděné lze povolit, pokud je to slučitelné s účely, pro které byly osobní údaje původně shromážděny (není odlišný právní základ od toho, který umožnil shromáždění osobních údajů) další operace zpracování jsou považováno za slučitelné s účely a také zákonné operace zpracování Slučitelnost účelu dalšího zpracování s původním účelem zpracování zjištění, zda účel dalšího zpracování je slučitelný s původním účelem, pro který byly osobní údaje shromažďovány je třeba vzít v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny nutno posoudit přiměřená očekávání ohledně dalšího použití os. údajů, povaha os. údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů, existence vhodných záruk během operací při zpracování 15

16 Delší doba uchování os. údajů v oblasti výzkumu os. údaje umožňující identifikaci subjekt údajů se mohou uchovávat po dobu delší, než je nezbytné pro naplnění účelu zpracování výjimka pro oblast výzkumu os. údaje lze uložit po dobu delší, pokud se zpracovávají výhradně pro vědecké účely a to za předpokladu provedení příslušných technických a organizačních opatření s cílem zaručit práva a svobody subjektu údajů Záruky a odchylky při zpracování os. údajů pro vědecké účely dodržování zásady minimalizace údajů opatření mohou zahrnovat pseudoanonymizaci za podmínky, že lze takto splnit sledované účely pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem 16

17 Záruky a odchylky při zpracování os. údajů pro vědecké účely Jsou-li os. údaje zpracovány pro vědecký výzkum, může ČS stanovit odchylky od: práva na přístup k os. údajům, práva na opravu, práva na omezení zpracování, práva vznést námitku, pokud by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů. Pravidla pro zpracování os. údajů v oblasti výzkumu - odchylky Odchylky od zákazu zpracování zvláštních kategorií os. údajů lze zpracovávat tzv. citlivé osobní údaje pro vědecké účely ČS mají možnost zavést další podmínky či omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu omezení však nemají mít vliv na přeshraniční zpracování údajů v rámci EU veřejné zdraví lze zpracovávat citlivé os. údajů i bez souhlasu subjektu údajů 17

18 Propojení informací z registrů díky propojení informací z registru lze získat velmi cenné informace informace z registru mohou posilovat výsledky výzkumů, neboť se vychází z rozsáhlejšího vzorku populace s cílem usnadnit vědecký výzkum mohou být osobní údaje zpracovány s výhradou vhodných podmínek a záruk stanovených v právu EU a ČS Osobní údaje zesnulých osob nařízení se vztahuje na i na případy zpracování osobních údajů pro účely archivace ale nemělo by se vztahovat na osobní údaje zesnulých osob subjekty mající v držení záznamy veřejného zájmu mají právní povinnost získávat, uchovávat, posuzovat, uspořádat, popisovat, sdělovat, podporovat a šířit záznamy trvalé hodnoty pro obecný veřejný zájem a poskytovat přístup k nim zde může jít o i nakládání s os. údaji zesnulých osob např. studium holokaustu 18

19 Vztahy se zpracovateli os. údajů a dopady na ně zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce správce - fyzická nebo právnická osoba orgán veřejné moci, agentura anebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování os. údajů pokud zpracovatel poruší nařízení tím, že určí účely a prostředky zpracování, považuje se k tomuto zpracování za správce Odpovědnost správce přihlíží se ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob správce zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s nařízením. Opatření musí být podle potřeby revidována a aktualizována 19

20 Odpovědnost správce Kodexy chování správce tím může doložit plnění povinností podle nařízení schválené mechanismy pro vydávání osvědčení opět správce tímto může doložit plnění povinností Společní správci lze, pokud se stanoví účely a prostředky zpracování nutné transparentní ujednání vymezení podílů na odpovědnosti za plnění povinností (zejména pokud jde o výkon práv subjektů a povinnosti poskytovat informace v případě, že os. údaje jsou/nejsou získány od subjektů údajů) dohodnuté kontaktní místo pro subjekty údajů subjekt údajů může vykonávat svá práva u každého ze správců i vůči každému z nich 20

21 Zástupci správců nebo zpracovatelů neusazených v EU Správce nebo zpracovatel jmenuje svého zástupce v EU výjimky z této povinnosti z pohledu výzkumného pracoviště: příležitostné zpracování, nezahrnuje ve velkém měřítku zpracování zvláštních kategorií údajů (tzv. citlivé údaje) Zástupce je správcem či zpracovatelem zmocněn k jednání s dozorovými úřady a subjekty údajů. Jmenováním zástupce nejsou dotčeny právní kroky, které mohou být zahájeny proti správci nebo zpracovateli Smlouva mezi správcem a zpracovatelem správce využije pouze zpracovatele, který poskytuje dostatečnou záruku zavedení vhodných technických a organizačních opatření GDPR compliance písemné povolení správce pro zapojení každého nového zpracovatele nařízení upravuje obsah smlouvy (správce a zpracovatel) zpracování os. údajů pouze na základě doložených pokynů správce zpracovatel zajišťuje mlčenlivost osob oprávněných zpracovávat os. údaje zpracovatel přijde opatření k zabezpečení os. údajů 21

22 Ukončení poskytování služeb zpracovatelem dle rozhodnutí správce zpracovatel všechny os. údaje buď vymaže, nebo je vrátí správci a vymaže existující kopie, pokud platná právní úprava nepožaduje uložení daných os. údajů zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností dle nařízení a umožní audity, inspekce pokud zpracovatel zapojí dalšího zpracovatele a další zpracovatel neplní své povinnosti v oblasti ochrany údajů, odpovídá správci nadále prvotní zpracovatel Záznamy o činnostech zpracování správce vede záznamy o činnostech zpracování, za něž odpovídá zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce záznamy jsou na požádání předkládány dozorovému úřadu tato povinnost je pro správce a zpracovatele, pokud zpracovávají tzv. citlivé os. údaje bez ohledu zda zaměstnávají méně než 250 osob. 22

23 Předání osobních údajů mimo EU zvýšené riziko, že nebude možné uplatnit svá práva na ochranu os. údajů dozorové úřady nebudou schopné vyřizovat stížnosti a provádět šetření (nedostatečné preventivní a nápravné pravomoci, rozdíly v právní úpravě) PRIVACY SHIELD umožňuje předání os. údajů z EU do USA Privacy Shield nástroj k zajištění odpovídající úrovně ochrany os. údajů i po jejich předání příjemci do USA vytvořila Evropská komise společně s vládními orgány USA systém štítu soukromí ( Privacy Shield ), který je definován Rozhodnutím Komise 2016/1250 ze dne 12. července 2016 registrace US společností u Ministerstva obchodu USA každoroční nutná obnova registrace zjednodušené předávání údajů z EU do USA bez nutnosti získávání povolení od národního úřadu anebo uzavření standardní doložky se zpracovatelem dat do USA 23

24 Nová práva subjektu údajů a jejich implementace Právo na přístup k os. údajům Právo na opravu Právo na výmaz (právo být zapomenut) Nová práva subjektu údajů a jejich implementace Právo na omezení zpracování Právo na přenositelnost údajů Právo vznést námitku 24

25 Právo subjektu údajů na přístup k os. údajům absolutní právo s výjimkou případů stanovených v čl. 23 subjekt údajů má právo získat od správce potvrzení, zda os. údaje, které se ho týkají, jsou či nejsou zpracovány právo získat přístup k těmto osobním údajům právo přístupu k těmto informacím: KDO příjemce, kterým budou os. údaje zpřístupněny CO kategorie dat KDE kde budou osobní údaje zpracovány JAK DLOUHO doba uložení údajů Právo subjektu údajů na přístup k os. údajům jak podat stížnost k dozorovému úřadu informace o zdroji os. údajů, pokud subjekt údajů neposkytl údaje skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování informace o existenci práva požadovat od správce opravu nebo výmaz údajů, omezení jejich zpracování nebo vznést námitku proti zpracování správce poskytne kopii zpracovávaných osobních údajů 25

26 Právo na opravu právo, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje právo na doplnění neúplných osobních údajů opravy je třeba provést i v zálohách dokumentů Právo na výmaz os. údajů (právo být zapomenut) lze, pokud os. údaje již nejsou potřebné pro účely shromáždění subjekt údajů odvolá souhlas se zpracováním os. údajů a již neexistuje další důvod pro zpracování os. údajů subjekt údajů vznese námitky proti zpracování os. údaje byly zpracovány protiprávně uložena právní vymazat os. údaje právem EU nebo ČS pokud není dán rodičovský souhlas se zpracováním os. údajů dětí právo být zapomenut rozšíření práva výmazu; přiměřené kroky správce informovat další správce o vymazání odkazu, jejich kopie 26

27 Právo na omezení zpracování pokud subjekt údajů popírá přesnost osobních údajů omezení zpracování na dobu potřebnou k ověření přesnosti os. údajů správcem data dočasně nedostupná pokud je zpracování protiprávní a subjekt údajů odmítá výmaz údajů a žádá jen omezení jejich použití pokud správce již os. údaje nepotřebuje, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků pokud subjekt údajů vznesl námitku proto zpracování a ještě není ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů alternativní řešení k právu být vymazán: dočasně nedostupná data, přenesení dat do separátního systému, dočasné zablokování web. stránky, data budou pouze uložena Právo na přenositelnost údajů právo získat od správce dříve poskytnutá data ve strukturovaném, běžně používaném a strojově čitelném formátu právo předat tyto údaje jinému správci správci si předávají údaje mezi sebou, pokud je to technicky proveditelné je možné toto právo uplatnit, pokud je zpracování os. údajů na základě souhlasu či dle smlouvy (os. údaje jsou nezbytné pro plnění smlouvy) a zpracování je automatizované výjimky: zpracování nezbytné ve veřejném zájmu nebo při výkonu veřejné moci 27

28 Právo vznést námitku proti zpracování os. údajů správce os. údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy a právy a svobodami subjektů údajů os. údaje zpracovány pro účely přímého marketingu právo vznést kdykoliv námitku proti zpracování os. údajů na tato práva musí být subjekt údajů výslovně upozorněn nejpozději v okamžiku první komunikace se subjektem údajů Právo subjektu údajů odmítnout profilování profilování automatizované zpracování os. údajů za účelem analyzovat nebo předpovídat: výkon v zaměstnání, ekonomickou situaci, zdraví, osobní preference, zájmy, spolehlivost, chování, polohu, pohyb atd. profilování nelze odmítnout, pokud: zpracování je nezbytné k uzavření nebo plnění smlouvy (např. vyhodnocení pojistných rizik) zpracování je povoleno právem EU nebo ČS zpracování je založeno na výslovném souhlasu subjektu údajů 28

29 Souhlas se zpracováním os. údajů v oblasti výzkumu Pro vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit příslušná ustanovení nařízení EP a Rady (EU) č. 536/2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES. Souhlas se zpracováním os. údajů v oblasti výzkumu výzkum může být proveden pouze při použití a shromažďovaní osobních informací o účastnících nezbytná podmínka pro účast definování správce a zpracovatele os. údajů definování nařízení EU o ochraně osobních údajů popis shromažďovaných os. údajů po ukončení výzkumu zůstávají údaje správcům, aby nebyla narušena validita získaných dat, a to po dobu nezbytnou k dosažení účelu výzkumu uvedení subjektů, které mají přístup do zdravotnické dokumentace a ke shromážděným os. údajům 29

30 Souhlas se zpracováním os. údajů v oblasti výzkumu informace o kódování os. údajů a vzorků informace o právu na přístup ke shromážděným informacím, o právu požádat o opravu informace o právu stěžovat si na to, jakým způsobem bylo s údaji zacházeno Informace o právu požádat o odstranění os. údajů Informace o právu omezit zpracování os. údajů Souhlas se zpracováním os. údajů v oblasti výzkumu Informace o právu požádat o to, aby byly tyto údaje poskytnuty subjektu údajů (výzkumu) či třetí straně v digitálním formátu informace o právu vyžadovat zničení všech dříve poskytnutých vzorků Informace o právu vznést stížnost ke kontrolnímu úřadu na to, jakým způsobem je s údaji nakládáno informace o zajištění ochrany os. údajů při předání do zemí mimo EU 30

31 Vliv GDPR na procesy a uspořádání ve farmaceutické firmě Jaké údaje jsou zpracovávány? Proč jsou údaje zpracovávány? V jakém objemu jsou údaje zpracovávány? Kdo údaje zpracovává a s kým? Jsou údaje dále předávány? Definice účelu zpracování PROČ? Právní základ pro zákonné zpracování: souhlas subjektu údajů plnění smlouvy plnění právní povinnosti životně důležité zájmy subjektu údajů veřejný zájem a výkon veřejné moci oprávněný zájem správce 31

32 Objem zpracování os. údajů KOLIK? stanovení, v jakém objemu jsou zpracovávány os. údaje pro daný účel vyhodnocení je důležité pro posouzení rizik a návrh opatření důležité pro rozhodnutí, zda jmenovat DPO Zpracování os. údajů ve farmaceutické firmě Specifika zpracování os. údajů ve farmaceutické firmě Právní odd., IT, marketing HR agenda, finance 32

33 Specifika zpracování os. údajů ve farmaceutické firmě Projektový management Regulační oddělení Klinické oddělení Data management Biostatistika Farmakovigilanční oddělení Quality Assurance oddělení Registrační oddělení Tipy a doporučené postupy pro implementaci GDPR najít kolegu z IT oddělení, který: bude mít zájem se podílet na analýze procesů zpracování osobních údajů zajistí technické podmínky pro naplnění GDPR nehledat pouze osobní údaje, ale analyzovat veškeré údaje ve firmě 33

34 Tipy a doporučené postupy pro implementaci GDPR snažit se zjednodušit nastavené toky informací kontrola nad daty, které biostatistik navrhuje zpracovávat při navrhování výzkumného projektu zjistit, zda skutečně osobní údaje potřebují veškerá oddělení ve firmě jako doposud možná inspirace ze Slovenska již existující bezpečnostní projekty Děkuji Vám za pozornost 34