Rapid Flexible Solid Ochrana osobních údajů v oblasti. klinického hodnocení Šárka Špeciánová Osnova přednášky základní principy nové právní úpravy dle nařízení Evropského parlamentu a Rady (EU) 2016/679 (obecného nařízení o ochraně osobních údajů) GDPR nová práva subjektů dle GDPR a jejich implementace výzkumné prostředí a specifika v oblasti zpracování osobních údajů dle GDPR pravidla pro zpracování osobních údajů v oblasti výzkumu vztahy se zpracovateli osobních údajů a dopady na ně specifika souhlasu se zpracováním osobních údajů v oblasti výzkumu vliv GDPR na procesy a uspořádání ve farmaceutické firmě 1
GDPR nařízení schválené EP 27.4.2016 4 roky vyjednávání NAŘÍZENÍ, NIKOLIV SMĚRNICE přímá závaznost a vymahatelnost práv přednost evropského práva před národním (odchylky pro členské státy ČS nařízení připouští) od 25.5.2018 nahrazuje dosavadní směrnici 95/46 ES a stávající úpravu v zákoně č. 101/2000 Sb., o ochraně osobních údajů GDPR Čl. 94 odst. 2 odkazy na zrušenou směrnici se považují za odkazy na toto nařízení novelizace zákona č. 101/2000 Sb. procesní norma upravující fungování Úřadu na ochranu osobních údajů právo osob na lepší kontrolu nad jejich osobními údaji harmonizace pravidel pro 28 států EU a EFTA zemí (Norsko, Island a Lichtenštejnsko) bude tak zrušeno 31 národních zákonů 2
GDPR nařízení se vztahuje na zpracování os. údajů správcem, který není usazen v EU, ale zpracovává os. údaje v EU nařízení se vztahuje na zpracování os. údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU, bez ohledu na to, zda zpracování probíhá v EU či mimo EU nařízení se vztahuje na zpracování os. údajů subjektu údajů z EU správcem nebo zpracovatelem, který není usídlen v EU GDPR konzistentní právní úprava spolupráce regulatorních orgánů rovnocenná vymahatelnost práva stejné sankce ve všech státech EU 3
Zásady GDPR pro zpracování dat zákonnost, korektnost a transparentnost ve vztahu k subjektu omezení účelové určité a jasně vymezené legitimní účely minimalizace údajů přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovány přesnost, aktualizace, opravy a výmaz nepřesností omezení doby uložení integrita a důvěrnost zabezpečení proti ztrátě a neoprávněnému zpracování odpovědnost a sankce Základní principy zpracování osobních údajů se souhlasem subjektu plnění smlouvy plnění právní povinnosti životně důležité zájmy subjektu údajů veřejný zájem a výkon veřejné moci oprávněný zájem správce 4
Základní principy zpracování osobních údajů Svoboda uděleného souhlasu: komu, v jakém rozsahu a k jakému účelu je souhlas udělen odvolání souhlasu je stejně snadné jako jeho udělení souhlas se zpracováním nelze vázat na nesouvisející smluvní ujednání staré souhlasy platí, pokud jsou v souladu s GDPR Faktory, na nichž závisí výše správní pokuty povaha, závažnost a délka porušení s přihlédnutím k povaze, rozsahu či účelu zpracování, zavinění ve formě úmyslu či nedbalosti, počet dotčených subjektů a míra škody, kroky podniknuté správcem a zpracovatelem ke zmírnění škod, předchozí porušení, míra odpovědnosti s přihlédnutím na technické a organizační opatření, míra spolupráce s dozorovým úřadem za účelem nápravy, kategorie dotčených osobních údajů, způsob, jakým se dozorový úřad dozvěděl o porušení. 5
Výše sankce dle nařízení 20 mil EUR nebo u podniku až do výše 4% celkového ročního obratu celosvětově za předchozí finanční rok 10 mil EUR nebo u podniku až do výše 2% celkového ročního obratu celosvětově za předchozí finanční rok Při stanovení výše sankce se vychází z vyšší finanční hodnoty Nová práva subjektů údajů a jejich implementace Právo na přístup k os. údajům Právo na opravu Právo na výmaz (právo být zapomenut) 6
Nová práva subjektů údajů a jejich implementace Právo na omezení zpracování Právo na přenositelnost údajů Právo vznést námitku Právo subjektu údajů na přístup k os. údajům absolutní právo s výjimkou případů stanovených v čl. 23 subjekt údajů má právo získat od správce potvrzení, zda os. údaje, které se ho týkají, jsou či nejsou zpracovány právo získat přístup k těmto osobním údajům právo přístupu k těmto informacím: KDO příjemce, kterým budou os. údaje zpřístupněny CO kategorie dat KDE budou osobní údaje zpracovány JAK DLOUHO doba uložení údajů 7
Právo subjektu údajů na přístup k os. údajům jak podat stížnost k dozorovému úřadu informace o zdroji os. údajů, pokud subjekt údajů neposkytl údaje skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování informace o existenci práva požadovat od správce opravu nebo výmaz údajů, omezení jejich zpracování nebo vznést námitku proti zpracování správce poskytne kopii zpracovávaných osobních údajů Právo na opravu právo, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje právo na doplnění neúplných osobních údajů opravy je třeba provést i v zálohách dokumentů 8
Právo na výmaz os. údajů (právo být zapomenut) lze, pokud os. údaje již nejsou potřebné pro účely shromáždění subjekt údajů odvolá souhlas se zpracováním os. údajů a již neexistuje další důvod pro zpracování os. údajů subjekt údajů vznese námitky proti zpracování os. údaje byly zpracovány protiprávně uložena pr. povinnost vymazat os. údaje právem EU nebo ČS pokud není dán rodičovský souhlas se zpracováním os. údajů dětí právo být zapomenut rozšíření práva výmazu; přiměřené kroky správce informovat další správce o vymazání odkazu, jejich kopie Právo na omezení zpracování pokud subjekt údajů popírá přesnost osobních údajů omezení zpracování na dobu potřebnou k ověření přesnosti os. údajů správcem data dočasně nedostupná pokud je zpracování protiprávní a subjekt údajů odmítá výmaz údajů a žádá jen omezení jejich použití pokud správce již os. údaje nepotřebuje, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků pokud subjekt údajů vznesl námitku proto zpracování a ještě není ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů alternativní řešení k právu být vymazán: dočasně nedostupná data, přenesení dat do separátního systému, dočasné zablokování web. stránky, data budou pouze uložena 9
Právo na přenositelnost údajů právo získat od správce dříve poskytnutá data ve strukturovaném, běžně používaném a strojově čitelném formátu právo předat tyto údaje jinému správci správci si předávají údaje mezi sebou, pokud je to technicky proveditelné je možné toto právo uplatnit, pokud je zpracování os. údajů na základě souhlasu či dle smlouvy (os. údaje jsou nezbytné pro plnění smlouvy) a zpracování je automatizované výjimky: zpracování nezbytné ve veřejném zájmu nebo při výkonu veřejné moci Právo vznést námitku proti zpracování os. údajů správce os. údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy a právy a svobodami subjektů údajů os. údaje zpracovány pro účely přímého marketingu právo vznést kdykoliv námitku proti zpracování os. údajů na tato práva musí být subjekt údajů výslovně upozorněn nejpozději v okamžiku první komunikace se subjektem údajů 10
Právo subjektu údajů odmítnout profilování profilování automatizované zpracování os. údajů za účelem analyzovat nebo předpovídat: výkon v zaměstnání, ekonomickou situaci, zdraví, osobní preference, zájmy, spolehlivost, chování, polohu, pohyb atd. profilování nelze odmítnout, pokud: zpracování je nezbytné k uzavření nebo plnění smlouvy (např. vyhodnocení pojistných rizik) zpracování je povoleno právem EU nebo ČS zpracování je založeno na výslovném souhlasu subjektu údajů Osobní údaje ve výzkumném prostředí identifikovaná a identifikovatelná fyzická osoba osobní údaj: veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě, zejména odkazem na jeden či více zvláštních prvků fyzické, fyziologické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby obrazové a slovní informace, rentgenové snímky 11
Posouzení identifikovatelnosti osoby při posuzování, zda je fyzická osoba identifikovatelná, se přihlíží ke všem prostředkům (např. výběr vyčleněním), o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci fyzické osoby ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i technologickému rozvoji Pseudonymizace zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě os. údaje, na něž byla uplatněna pseudonymizace a které by mohly být přiřazeny fyz. osobě na základě dodatečných informací považovány za informace o identifikovatelné fyzické osobě 12
Účel pseudonymizace pseudonymizace omezuje rizika pro dotčené subjekty údajů a napomáhá správcům a zpracovatelům plnit povinnosti týkající se ochrany údajů Nařízení se nevztahuje na: osobní údaje zesnulých osob, anonymizované údaje subjekt přestal být identifikovatelný, anonymní údaje netýkají se identifikované či identifikovatelné fyzické osoby. ČS mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob. Nařízení se netýká zpracování anonymních informací, včetně zpracování pro statistické nebo výzkumné účely. 13
Zpracování osobních údajů Jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících ve: shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv zpřístupnění, seřazení či kombinování, omezení, výmaz nebo zničení. OSOBNÍ IDENTITA - vše, co osobu odlišuje od ostatních subjektů 14
Zvláštní kategorie os. údajů tzv. citlivé Osobní údaje vypovídají o: rasovém či etnickém původu, zdravotním stavu, sexuální orientaci. Osobní údaje o zdravotním stavu info o minulém, současném či budoucím tělesném nebo duševním zdraví, číslo či specifický údaj přiřazený osobě za účelem jedinečné identifikace pro zdravotnické účely. Informace získané během provádění testů nebo vyšetřování částí lidského těla nebo těl. látek. Jakékoliv informace o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě. Info pocházející od lékaře, jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro. Genetické údaje info o zděděných či získaných genet. charakteristikách, jedinečné informace o fyziologii nebo zdraví jedince, analýza chromozomů nebo DNA, RNA, anebo analýza jiného prvku, která umožňuje získat rovnocenné informace, rozsah zjištěných informací záleží na rozsahu analýzy biologického vzorku určuje správce. 15
Biometrické údaje osobní údaje vyplývající z konkrétního technického zpracování, vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám, dovolují nebo potvrzují jedinečnou identifikaci, snímky obličeje, daktyloskopické údaje, podpis, dynamický biometrický podpis, fotografie biometrický údaj pouze v případech, kdy jsou zpracovány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Pravomoci ČS ČS mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. 16
Zpracování osobních údajů pro vědecký výzkum nařízení se vztahuje na zpracování osobních údajů pro vědecký výzkum (zahrnuje technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů), cíl vytvoření evropského výzkumného prostoru, v zájmu dodržení specifických podmínek zpracování os. údajů pro vědecké účely by měly platit zvláštní podmínky pro zveřejňování nebo jiné zpřístupnění os. údajů v souvislosti s účely vědeckého výzkumu Pravidla pro zpracování os. údajů v oblasti výzkumu účel zpracování Účel zpracování zamýšlený výzkum v době shromažďování osobních údajů není možné v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu právo subjektů výzkumu udělit souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum (např. CIOMS) právo subjektů výzkumu udělit souhlas pouze pro některé oblasti výzkumu v rozsahu přípustném pro zamýšlený výzkum 17
Zpracování os. údajů pro jiné účely, než byly shromážděné lze povolit, pokud je to slučitelné s účely, pro které byly osobní údaje původně shromážděny (není odlišný právní základ od toho, který umožnil shromáždění osobních údajů) další operace zpracování jsou považováno za slučitelné s účely a také zákonné operace zpracování Slučitelnost účelu dalšího zpracování s původním účelem zpracování zjištění, zda účel dalšího zpracování je slučitelný s původním účelem, pro který byly osobní údaje shromažďovány je třeba vzít v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny nutno posoudit přiměřená očekávání ohledně dalšího použití os. údajů, povaha os. údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů, existence vhodných záruk během operací při zpracování 18
Delší doba uchování os. údajů v oblasti výzkumu os. údaje umožňující identifikaci subjekt údajů se mohou uchovávat po dobu delší, než je nezbytné pro naplnění účelu zpracování výjimka pro oblast výzkumu os. údaje lze uložit po dobu delší, pokud se zpracovávají výhradně pro vědecké účely a to za předpokladu provedení příslušných technických a organizačních opatření s cílem zaručit práva a svobody subjektu údajů Záruky a odchylky při zpracování os. údajů pro vědecké účely dodržování zásady minimalizace údajů opatření mohou zahrnovat pseudoanonymizaci za podmínky, že lze takto splnit sledované účely pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem 19
Záruky a odchylky při zpracování os. údajů pro vědecké účely Jsou-li os. údaje zpracovány pro vědecký výzkum, může ČS stanovit odchylky od: práva na přístup k os. údajům, práva na opravu, práva na omezení zpracování, práva vznést námitku, pokud by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů. Pravidla pro zpracování os. údajů v oblasti výzkumu - odchylky Odchylky od zákazu zpracování zvláštních kategorií os. údajů lze zpracovávat tzv. citlivé osobní údaje pro vědecké účely ČS mají možnost zavést další podmínky či omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu omezení však nemají mít vliv na přeshraniční zpracování údajů v rámci EU veřejné zdraví lze zpracovávat citlivé os. údajů i bez souhlasu subjektu údajů 20
Vztahy se zpracovateli os. údajů a dopady na ně zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce správce - fyzická nebo právnická osoba orgán veřejné moci, agentura anebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování os. údajů pokud zpracovatel poruší nařízení tím, že určí účely a prostředky zpracování, považuje se k tomuto zpracování za správce Odpovědnost správce přihlíží se ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob správce zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s nařízením. Opatření musí být podle potřeby revidována a aktualizována 21
Odpovědnost správce Kodexy chování správce tím může doložit plnění povinností podle nařízení schválené mechanismy pro vydávání osvědčení opět správce tímto může doložit plnění povinností Společní správci lze, pokud se stanoví účely a prostředky zpracování nutné transparentní ujednání vymezení podílů na odpovědnosti za plnění povinností (zejména pokud jde o výkon práv subjektů a povinnosti poskytovat informace v případě, že os. údaje jsou/nejsou získány od subjektů údajů) dohodnuté kontaktní místo pro subjekty údajů subjekt údajů může vykonávat svá práva u každého ze správců i vůči každému z nich 22
Zástupci správců nebo zpracovatelů neusazených v EU Správce nebo zpracovatel jmenuje svého zástupce v EU výjimky z této povinnosti z pohledu výzkumného pracoviště: příležitostné zpracování, nezahrnuje ve velkém měřítku zpracování zvláštních kategorií údajů (tzv. citlivé údaje) Zástupce je správcem či zpracovatelem zmocněn k jednání s dozorovými úřady a subjekty údajů. Jmenováním zástupce nejsou dotčeny právní kroky, které mohou být zahájeny proti správci nebo zpracovateli Záznamy o činnostech zpracování správce vede záznamy o činnostech zpracování, za něž odpovídá zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce záznamy jsou na požádání předkládány dozorovému úřadu tato povinnost je pro správce a zpracovatele, pokud zpracovávají tzv. citlivé os. údaje bez ohledu zda zaměstnávají méně než 250 osob. 23
Předání osobních údajů mimo EU zvýšené riziko, že nebude možné uplatnit svá práva na ochranu os. údajů dozorové úřady nebudou schopné vyřizovat stížnosti a provádět šetření (nedostatečné preventivní a nápravné pravomoci, rozdíly v právní úpravě) PRIVACY SHIELD umožňuje předání os. údajů z EU do USA Privacy Shield nástroj k zajištění odpovídající úrovně ochrany os. údajů i po jejich předání příjemci do USA vytvořila Evropská komise společně s vládními orgány USA systém štítu soukromí ( Privacy Shield ), který je definován Rozhodnutím Komise 2016/1250 ze dne 12. července 2016 registrace US společností u Ministerstva obchodu USA každoroční nutná obnova registrace zjednodušené předávání údajů z EU do USA bez nutnosti získávání povolení od národního úřadu anebo uzavření standardní doložky se zpracovatelem dat do USA 24
Souhlas se zpracováním os. údajů v oblasti výzkumu Pro vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit příslušná ustanovení nařízení EP a Rady (EU) č. 536/2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES. Vliv GDPR na procesy a uspořádání ve farmaceutické firmě Jaké údaje jsou zpracovávány? Proč jsou údaje zpracovávány? V jakém objemu jsou údaje zpracovávány? Kdo údaje zpracovává a s kým? Jsou údaje dále předávány? 25
Definice účelu zpracování PROČ? Právní základ pro zákonné zpracování: souhlas subjektu údajů plnění smlouvy plnění právní povinnosti životně důležité zájmy subjektu údajů veřejný zájem a výkon veřejné moci oprávněný zájem správce Objem zpracování os. údajů KOLIK? stanovení, v jakém objemu jsou zpracovávány os. údaje pro daný účel vyhodnocení je důležité pro posouzení rizik a návrh opatření důležité pro rozhodnutí, zda jmenovat DPO 26
Zpracování os. údajů ve farmaceutické firmě Specifika zpracování os. údajů ve farmaceutické firmě Právní odd., IT, marketing HR agenda, finance Specifika zpracování os. údajů ve farmaceutické firmě kdo je správcem a kdo zpracovatelem osobních údajů (více subjektů působících v různých jurisdikcích) přeshraniční spolupráce přeshraniční ochrana dat souhlas udělený jednomu správci není automaticky platným souhlasem pro další subjekty 27
Tipy a doporučené postupy pro implementaci GDPR najít kolegu z IT oddělení, který: bude mít zájem se podílet na analýze procesů zpracování osobních údajů zajistí technické podmínky pro naplnění GDPR nehledat pouze osobní údaje, ale analyzovat veškeré údaje ve firmě zavedení, ale neustálé udržení připravenosti vlastní zdroje x outsourcing (schopnost komunikace s ÚOOÚ a převzetí odpovědnosti) Tipy a doporučené postupy pro implementaci GDPR snažit se zjednodušit nastavené toky informací kontrola nad daty, které biostatistik navrhuje zpracovávat při navrhování výzkumného projektu zjistit, zda skutečně osobní údaje potřebují veškerá oddělení ve firmě jako doposud možná inspirace ze Slovenska již existující bezpečnostní projekty 28
Děkuji Vám za pozornost 29