Michal Koščík Masarykova univerzita, LF, PrF 14. Února 2018 OCHRANA SOUKROMÍ A OSOBNÍCH ÚDAJŮ VE VÝZKUMNÝCH PROJEKTECH
Základní právní rámec Ochrana soukromí Ochrana osobních údajů
Listina základních práv EÚ Respektování soukromého a rodinného života Každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace.
Listina základních práv EÚ Čl. 8 Ochrana osobních údajů 1. Každý má právo na ochranu osobních údajů, které se ho týkají. 2. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. 3. Na dodržování těchto pravidel dohlíží nezávislý orgán.
Listina základních práv a svobod Článek 10 (1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. (2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
Ochrana soukromí a OÚ je základním lidským právem Důsledky?
Zákonná úprava Ochrana osobnosti Občanský zákoník 81 117 Ochrana osobních údajů Zákon o ochraně osobních údajů Občanský zákoník 3019 - Údaji, podle nichž lze člověka zjistit, jsou zejména jméno, bydliště a datum narození, popřípadě identifikující údaj podle jiného právního předpisu. Identifikujícím údajem právnické osoby nebo podnikatele je identifikační číslo osoby, bylo-li jim přiděleno.
Ochrana osobnosti člověka
Život projevy osobní povahy. Důstojnost Osobnost soukromí Zdraví Vážnost, čest, Právo žít v příznivém životním prostředí,
Podoba a soukromí Zachytit jakýmkoli způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením. Nikdo nesmí zasáhnout do soukromí jiného, nemá-li k tomu zákonný důvod. Zejména nelze bez svolení člověka narušit jeho soukromé prostory, sledovat jeho soukromý život nebo pořizovat o tom zvukový nebo obrazový záznam, využívat takové či jiné záznamy pořízené o soukromém životě člověka třetí osobou, nebo takové záznamy o jeho soukromém životě šířit.
Zásah do osobnosti člověka bez souhlasu (OZ) Vědecká a zpravodajská licence Podobizna nebo zvukový či obrazový záznam se mohou bez svolení člověka také pořídit nebo použít přiměřeným způsobem k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství. Veřejný/úřední zájem Svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu. Ochrana práv Svolení není třeba, pokud se podobizna nebo zvukový či obrazový záznam pořídí nebo použijí k výkonu nebo ochraně jiných práv nebo právem chráněných zájmů jiných osob.
Proporcionalita zásahu s jiným právem chráněným zájmem Majetek osob Informace veřejnosti Bezpečí osob Osobnost člověka
Ochrana osobních údajů
Obecné nařízení o ochraně osobních údajů Obávaná novinka GDPR
V čem je rozdíl?
Stará (současná) směrnice Nové nařízení Široká definice OU OÚ lze zpracovávat Souhlas Zákonné zmocnění Trojúhelník Subjekt údajů Správce Ještě širší definice OÚ OÚ lze zpracovávat Souhlas Zákonné zmocnění Trojúhelník Subjekt údajů Správce
Srovnání Stará směrnice 32 Článků Prostor pro implementaci Nové nařízení 99 Článků Přímý účinek
Od roku 1995 je potřeba FACELIFT Ale v zásadě se toho tolik nemění
Základní východiska GDPR
Analogie GDPR a Zákon o požární ochraně?
FILOSOFIE Každý, kdo spravuje nebo zpracovává osobní údaje musí mít od počátku promyšleno k čemu tyto osobní data potřebuje a jak je bude chránit Zákonnost, korektnost a transparentnost zpracování osobních údajů Důraz na zachování integrity a důvěrnosti dat Klade se velký důraz na samoregulaci uvnitř instituce Největší problém instituce musí vést záznam o tom, že tato pravidla dodržuje (protokol, data management plan etc.)
Výčet základních zásad zákonnost, korektnost, transparentnost účelové omezení minimalizace údajů (co do rozsahu) přesnost omezení uložení (časové) integrita a důvěrnost odpovědnost
Účelové omezení Nezpracovávat data k jinému účelu ÚČEL Minimalizace dat Rozsah sbíraných dat musí odpovídat účelu Časové omezení Data se musí po splnění účelu smazat nebo anonymizovat
Principy Správce Stanovuje účel zpracování Subjekt údajů Chcete-li člověk Zpracovatel Pracuje pro Správce
Vztah správce - zpracovatel Správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o: odborné znalosti, spolehlivost a zdroje, technická a organizační opatření, která budou splňovat požadavky nařízení, včetně požadavků na bezpečnost zpracování. Mezi správcem a zpracovatelem musí existovat PÍSEMNÁ SMLOUVA
TITUL k držbě a zpracování dat Souhlas Může za správce získat i třetí subjekt Přísnější formální nároky (další slidy) Zákonný důvod Pokud existuje zákonný důvod, lze sbírat bez souhlasu
Kdy je možné zpracovat data bez souhlasu? Plnění smlouvy Plnění právní povinnosti ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby plnění úkolu prováděného ve veřejném zájmu při výkonu veřejné moci nezbytné pro účely oprávněných zájmů příslušného správce
Několik zásadních novinek
Východiska souhlasu jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.
Pravidla souhlasu (zkrácená) Správce musí být schopen doložit, že subjekt údajů udělil souhlas Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto
Pravidla transparentnosti Seznam informací, které musí být poskytnuty při získávání souhlasu (Čl. 13) a při zpracování (čl. 14) Právo subjektu údajů na přístup k osobním údajům právo na informace o účelu a rozsahu právo na informace o zárukách Právo subjektu na opravu Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování (tam kde o to subjekt požádal Čl. 19)
Právo na výmaz a omezení zpracování Subjekt má právo vznést námitku Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud subjekt údajů vznese námitky a proti zpracování neexistují žádné převažující oprávněné důvody pro zpracování výkon práva na svobodu projevu a informace splnění právní povinnosti z důvodů veřejného zájmu v oblasti veřejného zdraví pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely Správce má povinnost omezit zpracování Pokud nemá jiný právní titul ke všem údajům
Automatizované zpracování (profilování) Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
Nejobávanější část DOPOSUD TO NEZNÍ TAK HROZNĚ?
Nejobávanější část Záměrná a standardní ochrana osobních údajů (DP by design) Povinnost vést záznamy o činnostech zpracování Zabezpečení zpracování Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu Posouzení vlivu na ochranu osobních údajů Pověřenec pro ochranu osobních údajů Sankce
11 OBLASTÍ IMPLEMENTACE GDPR NA VŠ Převzato ze seminář Cesnet-GDPR Autor M. BartoŠek 20.6.2017 -- Diskuse a příprava CRP18+ 39
1. Interní legislativa 2. Registr zpracování OÚ 3. Metodiky 4. Posouzení dopadu 5. Úpravy systémů a procesů 6. Dokumentace 7. Vytvoření podpůrných systémů 8. Smluvní ujednání 9. Souhlasy SÚ 10.Pověřenec pro ochranu OÚ 11.Školení, informovanost Převzato Seminář Cesnet-GDPR 20.6.2017 -- Diskuse a příprava CRP18+ 40
Data protection by design - Záměrná a standardní ochrana osobních údajů - Starý koncept, nové definice, nové papíry
Odpovědnost za osobní údaje vzniká dříve než získáte první osobní údaje Povinnost nastavit vnitřní procesy tak, aby nedocházelo k únikům a porušováním práv Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné Správce má povinnost vhodné úrovně bezpečnosti kdy zohlední zejména rizika, která představuje zpracování osobních údajů
Anonymizace, pseudonymizace a profilování Anonymizované OÚ Nelze dešifrovat, klíč je zničen Pseudonymizované OÚ Lze dešifrovat, třeba za cenu velkého úsilí I tato data jsou OÚ Profilování automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě
Věda a výzkum
Výzkum Kvalitativní Dotazníky Dokumentace Kvantitativní Data, Data Data, Data
Kvalitativní - Fotografie, záznamy rozhovorů, dotazníky, Problém č. 1 Jak legálně sbírat data? Jak má vypadat souhlas subjektu? Problém č. 2 Jak je zpracovávat? Problém č. 3 Jak je publikovat?
Kvantitativní výzkum Problém č. 1 Problém č. 2 Problém č. 3 Informace při pořizování Pořizování z jiných zdrojů než od subjektu Udržování aktuálních dat Anonymizace, pseudonymizace Sdílení s ostatními, další použití, open data Smrt subjektu dat
Princip omezení uložení Údaje nesmí být uchovány déle než stanoví účel Výjimka údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely Repozitář může sbírat a uchovávat údaje, které nebyly původně pořízeny za účelem repozitáře Proporcionalita
Open data, repozitáře, zdrojová data Současné trendy Multicentrický výzkum Sdružování a sdílení dat Publikace zdrojových dat spolu s vědeckým článkem Institucionální repozitáře pro Open Data Právo být zapomenut, problematika zpětvzetí souhlasu
Jak vůbec poznáme kdo je výzkumník či vědec? Dle cíle? Dle metody? Dle kvalifikace? Dle motivace? Osoba, která se snaží zjistit objektivní poznání/pravdu?. a toto poznání šířit dál? Osoba, která získává informace prostřednictvím vědecké metody Osoba, která výzkum dělat umí Již aspoň jednou v minulosti prokazatelně dělala Individuální komerční zájem Obecné dobro Definujte zápatí - název prezentace / pracoviště 50
PŘÍSTUPU K DATŮM JINÝCH VÝZKUMNÍKŮ Definujte zápatí - název prezentace / pracoviště 51
Praktické problémy Přístup k datům obsahující osobní údaje Jak prokážu, že nemají právní vady Pomůže kodex chování a pečeť? Vznik databázového práva nad sesbíranými sdílenými daty Ne všechna data jsou databázově chráněna Pokud někdo posbírá mnoho střípků z repozitářů, získá databázové právo Ten co data sesbíral nemá v ruce nic Definujte zápatí - název prezentace / pracoviště 52
Dopady GDPR na klinický výzkum Mgr. Bc. Michal Koščík, Ph.D. Právní rámec sběru, zpracování, uchovávání a užívání výzkumných dat (GA15-20763S) 53
GDPR a klinická hodnocení? 156 - Zpracování OÚ pro vědecké účely by mělo být v souladu i s dalšími právními předpisy, 161 - Pro účely vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit nařízení EU č. 536/2014
Není informovaný souhlas jako informovaný souhlas GDPR jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle Aby se zajistilo, že souhlas bude informovaný, měl by subjekt znát alespoň totožnost správce a účely zpracování Písemně, elektronicky nebo ústně Nařízení o klin. hodn. Informovaný souhlas je vnitrostátní povahy Informovaný souhlas musí být písemný
Další zpracování sesbíraných dat
Rozdílná pravidla pro zpracování OÚ Primární zpracování dat pacientů účastnících se KH Sekundární zpracování dat pacientů účastnících se KH Sekundární data pacientů neúčastnících se KH (epidemiologie) Zpracování anonymizovaných dat
Další dobré zprávy z GDPR Za jistých okolností není potřeba získat souhlas nebo informovat subjekty o sekundárním zpracování dat (rec. 62) Výjimka z práva být zapomenut (rec. 65) Větší benevolence při předávání do zahraničí (rec. 113) Zdravotní registry jsou v principu v pořádku a žádoucí (rec. 157)
Avšak pozor Vědecký výzkum je o zpracováním OÚ! Zpracování osobních údajů pro účely vědeckého výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám týkajícím se práv a svobod subjektu údajů podle tohoto nařízení. Pseudonymní není anonymní
SHRNUTÍ: GDPR UMOŽŇUJE VÝZKUMNÍKŮM VYMĚNIT PLNĚNÍ DÍLČÍCH POVINNOSTÍ ZA VHODNÉ ZÁRUKY OCHRANY ZPRACOVÁNÍ