Internationale dataoverførsler

Transkript

1 1 Internationale dataoverførsler - fokus på EU US Privacy Shield 30. august 2017

2 2 En balanceakt Transparens (Offentlighedens Interesser) GDPR (Individets Interesser) DPO 2016

3 3 Personhenførbare data identificerbar fysisk person : en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, artikel 4 (1), nr. 1 [alle henvisninger til GDPR] identificerbar : alle midler [bør] tages i betragtning, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person til direkte eller indirekte at identificere, herunder udpege, den pågældende. For at fastslå, om midler med rimelighed kan tænkes bragt i anvendelse til at identificere en fysisk person, bør alle objektive forhold tages i betragtning, såsom omkostninger ved og tid der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling (præmis 26) DPO 2016

4 4 Genetiske / biometriske data persondata? personoplysninger : enhver form for information om en identificeret eller identificerbar fysisk person, artikel 4 (1), nr. 1 genetisk data : personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person, artikel 4 (1), nr. 13 biometrisk data : personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger, artikel 4 (1), nr. 14 Genetiske (GDPR), biometriske data (GDPR) og helbredsoplysninger udgør følsomme personoplysninger Behandling til sekundære formål/secondary use (fx market research efter PAES/PASS-studier) kræver nyt grundlag DPO 2016

5 5 Pseudonymisering er da anonymisering? pseudonymisering : behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person, artikel 4 (1), nr. 1 Anbefalet sikkerhedsforanstaltning i forbindelse med R&D (GDPR) Personoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person DPO 2016

6 6 GDPR harmoniserede regler? Ej heller det, der ligner: Medlemsstaterne kan opretholde eller indføre yderligere betingelser, herunder begrænsninger, for behandling af genetiske data, biometriske data, eller helbredsoplysninger, artikel 9 (4). DPO 2016

7 7 Data Flow EMA og nationale lægemiddelmyndigheder Lande udenfor EU/EØS ( 3. lande ) Lægemiddelvirksomhed EU/EØS Intern deling Kontraktforskere (private firmaer, institutioner, joint ventures etc.) EU/EØS Offentligt domæne (databaser, registre)

8 8 Grundlag for overførsel af klinisk data fra EU til USA Separat (juridisk) overførselsgrundlag: Anonymisering (relevant?) Samtykke (for overførsel til specifikt tredjeland) Tredjelande med et tilstrækkeligt beskyttelsesniveau (iflg. EU Kommissionen) Specifikke sektorer i tredjelande med et tilstrækkeligt beskyttelsesniveau (iflg. EU Kommissionen) (GDPR) Passende foranstaltninger? Binding corporate rules (fx Novo Nordisk) EU-Kommissionens standardkontrakt (typisk valgt af virksomhederne) Godkendte codes of conduct (GDPR) Certificering (GDPR)

9 9 Sikre tredjelande Andorra (2010) Argentina (2003) Canada (2002) Schweiz (2004) Færøerne (2010) Guernsey (2003) Israel (2011) Isle of Man (2004) Jersey (2008) New Zealand (2013) USA Privacy Shield (2016) Uruguay (2012)

10 EU US Privacy Shield 10

11 11 EU US Privacy Shield Rammeaftale som fastlægger principper for transatlantisk data flow Frivillig ordning (selvcertificerende virksomheder tjek anmeldte datakategorier) Erstatter den tidligere EU - US aftale (Safe Harbor) som blev underkendt af ECJ i 2015 (Max Schrems mod det irske datatilsyn) Aftalen omfatter alle EU-medlemsstater samt Island, Lichtenstein og Norge Kritik af Privacy Shield: 23. marts 2017 LIBE (Members of the European Parliament s civil liberties, justice and home affairs committee) underkender Privacy Shield? EU: Artikel 29 Working Group (beskyttelse af EU borgeres rettigheder).

12 12 Hvad kræver Privacy Shield Information og samtykke Ansvarlighed ved overførsel af data Datasikkerhed Dataintegritet og formålsminimering Adgang til data Regres, håndhævelse og ansvar

13 13 Informationsforpligtelse og krav om samtykke Lægemiddelvirksomheden skal informere individer om følgende forhold: Virksomhedens deltagelse i Privacy Shield-programmet Formål med indsamling af data Typer af data som indsamles Anvendelse af indsamlede data Individets rettigheder (adgang til egne data, sletning, berigtigelse mv.) Klagemuligheder Virksomhedens ansvar ved overførsel af data Virksomhedens pligt til indhente samtykke til overførsel af personfølsomme data Individets ret til at undlade at samtykke til overførsel

14 14 Samtykke - undtagelser En virksomhed er ikke forpligtet til at anmode om individets samtykke ved overførsel af følsomme data, når overførslen eksempelvis er: i individets, eller andre personers, vitale interesse nødvendigt, fx til brug i forsikrings- og retssager påkrævet for at kunne yde lægebehandling, eller for at stille en medicinsk diagnose relateret til data som individet selv har offentliggjort

15 15 Ansvarlighed og sikkerhed ved dataoverførsel Alle former for dataoverførsel mellem EU og USA kræver udarbejdelse af en databehandleraftale (eller standardkontrakten) Overførsel af data til USA skal ske under overholdelse af Privacy Shield-principperne Virksomheder, som indsamler, anvender, behandler og publicerer personlig information, skal sikre sig, at der iværksættes nødvendige og relevante aktiviteter med henblik på sikring af data, herunder forhindre uautoriseret adgang, misbrug, destruktion og ændring af data Overførsel af personhenførbare data skal begrænses til det absolut nødvendige Ved overførsel af personhenførbare data skal specifikt samtykke indhentes, hvis andre ønsker at anvende data til andre formål (secondary use) end de(n) formål som de oprindelig blev indsamlet til (primary use) Virksomheden skal sikre, at den information, som overføres, er valid, præcis og relevant

16 16 Adgang Forsøgspersoner skal have: adgang til den information om dem, som en virksomhed ligger inde med mulighed for at rette, udvide, eller slette data, som ikke er korrekt, eller som er blevet ulovligt overført Forsøgspersonen skal dog ikke have automatisk adgang til deres data i følgende situationer: når udgifterne, eller besværet med at give individet adgang til data, er disproportional med hensynet til beskyttelse af individets privatliv i situationer, hvor andre personers, end de berørte individers, rettigheder vil blive krænket

17 17 Håndhævelse og ansvar Lægemiddelvirksomheder, som overfører persondata under Privacy Shield er ansvarlige for, at aftalens principper efterleves skal uden omkostning for borgerne hurtigt besvare og behandle klager fra individer, som føler deres rettigheder krænket skal samarbejde med nationale datatilsynsmyndigheder Etablering af USA Ombudsmand som EU borgere kan klage til, såfremt de finder, at deres rettigheder er blevet krænket

18 18 Samtykke - undtagelser En virksomhed er ikke forpligtet til at anmode om individets samtykke ved overførsel af følsomme data, når overførslen eksempelvis er: i individets, eller andre personers, vitale interesse Videnskabelige forskningsformål eller statistisk påkrævet for at kunne yde lægebehandling, eller for at stille en medicinsk diagnose relateret til data som individet selv har offentliggjort

19 19 Kliniske forsøg (omdiskuterede emner) Pseudonymisering af data: Persondata, som anvendes i medicinske forskningsprojekter, skal pseudonymiseres, når det vurderes passende Fremtidig klinisk forskning: Data genereret i et studie kan overføres med henblik på brug i et fremtidigt studie (secondary use), hvis patienten er informeret herom (primary use), og har givet samtykke hertil Drop-outs fra kliniske forsøg: Overførsel af data er lovlig, såfremt patienten er blevet orienteret herom, før accept af deltagelse i forsøget

20 20 Kliniske forsøg (omdiskuterede emner) Overførsel af persondata fra til US-myndigheder for regulatoriske og overvågningsmæssige formål: Ok hvis pseudonymiserede! Rapportering af bivirkninger til myndigheder kræver intet samtykke Blindede studier: Ved studiets afslutning (efter publicering) bør patienter havde adgang til egne data, herunder information om type af behandling (aktivt stof, placebo)

21 21 Kritik af Privacy Shield Lavere grad af beskyttelse for EU-borgere end persondataforordningen (2018). Tillader masseovervågning og opbevaring af EU-borgeres elektroniske kommunikation, såfremt USmyndighederne vurderer, at der er risiko for: - Terrorbekæmpelse/terrorspredning. - Cybersikkerhed. - Trusler mod US national sikkerhed. - Bekæmpelse af transnationale kriminelle trusler. US-virksomheders brug af private voldgiftsmænd svækker EU borgeres retssikkerhed ved misbrug af deres personlige data. Test for nødvendighed og proportionalitet er formuleret svagere i Privacy Shield end i persondatareglerne: - Feasible (gennemførlig) - Reasonable (rimelig) US Ombudsmand er ikke (tilstrækkelig) uafhængig af de amerikanske myndigheder (de skal i øvrigt lige finde personen )

22 22 Kontakt Martin Dræbye Gantzhorn Partner København IP & Technology / Life Science T M E mdg@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T