1. Datatilsynet har modtaget Region Hovedstadens anmodning om tilladelse efter databeskyttelseslovens § 10, stk. 3, til videregivelse af personoplysninger fra en videnskabelig undersøgelse benævnt ”Emotionsregulering og belønningssystemet hos børn med neuropsykiatriske lidelser”.
Region Hovedstaden har oplyst, at videregivelsen sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign., hvorved videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 3.
Oplysningerne ønskes videregivet til datarepositoriet Figshare, som er en offentlig tilgængelig database, der har til formål at øge gennemsigtigheden og muligheden for, at andre forskere kan replicere resultaterne.
Region Hovedstaden har i forlængelse heraf oplyst, at offentliggørelse i datarepositoriet Figshare skal ske som led i optagelse til godkendelse af en artikel hos Journal of Child Psychology and Psychiatry, og at offentliggørelsen efter det oplyste er en forudsætning herfor. I artiklen vil der blive indsat et link til databasen.
Region Hovedstaden har herudover oplyst, at der er tale om oplysninger om børn i alderen 8-12 år (60 børn med Tourettes syndrom, 26 børn med ADHD, 19 børn med Tourettes syndrom og ADHD og 55 raske kontrolbørn). Der ønskes videregivet oplysninger om testscorer fra en eksperimentel test, spørgeskemadata om symptomer, oplysninger om alder, køn, diagnose, socioøkonomisk status og IQ. Oplysningerne er pseudonymiserede, men oplysningerne vil på sigt blive anonymiserede, når nøglefilen slettes senest i år 2023.
2. Indledningsvis kan Datatilsynet oplyse, at tilladelseskravet indeholdt i databeskyttelseslovens § 10, stk. 3, nr. 3, omfatter enhver videregivelse af personoplysninger – der behandles i medfør af databeskyttelseslovens § 10, stk. 1 og 2 – som sker med henblik på offentliggørelse af en videnskabelig artikel mv. i et anerkendt videnskabeligt tidsskrift el.lign. Det betyder, at tilsynets forudgående tilladelse skal indhentes, hvis det bagvedliggende formål med en videregivelse af personoplysninger er publicering af en videnskabelig artikel i et anerkendt tidsskrift el.lign.
Der vil således skulle indhentes en forudgående tilladelse fra Datatilsynet, hvis:
-
En videnskabelig artikel, der ønskes publiceret i et anerkendt videnskabeligt tidsskrift el.lign., indeholder pseudonymiserede personoplysninger,
-
de personoplysninger, der indgår i en statistisk eller videnskabelig undersøgelse, ønskes videregivet til et anerkendt tidsskrift el.lign. med henblik på udførelse af en fagfællebedømmelse, eller
-
de personoplysninger, der indgår i den statistiske eller videnskabelige undersøgelse, ønskes videregivet til andre dataansvarlige – eksempelvis til et selvstændigt datarepositorium – end selve det anerkendte tidsskrift el.lign.
3. Datatilsynet meddeler – efter at sagen har været behandlet på et møde i Datarådet – hermed en sådan tilladelse, jf. databeskyttelseslovens § 10, stk. 3, nr. 3. Videregivelse skal ske under iagttagelse af de vilkår, som fremgår nedenfor.
Datatilsynet har lagt til grund, at tidsskriftet Journal of Child Psychology and Psychiatry er et anerkendt videnskabeligt tidsskrift. Tilsynet har i den forbindelse lagt vægt på, at tidsskriftet fremgår af BFI-listen på Uddannelses- og Forskningsministeriets hjemmeside på niveau 2 (højt niveau).
Om baggrunden for nedenstående vilkår 9 bemærker Datatilsynet, at en vid offentliggørelse af en undersøgelses ”rådata” med henblik på offentliggørelse af en videnskabelig artikel i et anerkendt videnskabeligt tidsskrift el.lign. efter tilsynets opfattelse ikke kan rummes inden for rammerne af databeskyttelseslovens § 10, stk. 3, nr. 3.
4. Tilladelsen gives på følgende vilkår, som Region Hovedstaden har ansvaret for at overholde:
-
Der må kun videregives personoplysninger, når videregivelse er nødvendig som led i viderebehandling til videnskabelige eller statistiske formål. Oplysningerne må ikke viderebehandles til andre formål, jf. databeskyttelseslovens § 10, stk. 2. Hvis Region Hovedstaden over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.
-
Personoplysninger må udelukkende videregives i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige.
-
Hvis personoplysninger videregives ved overførelse over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikkerhedsforanstaltninger.
-
Ved transmission af fortrolige og følsomme personoplysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende kryptering.
-
Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
-
Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til videnskabelige og statistiske undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder vilkår 8-13.
-
Overholdelse af vilkår 6 skal kunne dokumenteres på tidspunktet for videregivelsen. Dokumentation kan blandt andet ske med en skriftligt begrundet erklæring fra den modtagende dataansvarlige.
Vilkår vedrørende den modtagende dataansvarlige
-
Videregivelse skal ske til personer, som hos den modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.
-
Ved videregivelse der sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign. – eksempelvis med henblik på udførelse af en fagfællebedømmelse – må personoplysninger hos den modtagende dataansvarlige alene gøres tilgængelig for personer, der har et konkret og sagligt formål med behandlingen heraf.
-
Der skal gives den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af videnskabelige eller statistiske undersøgelser, og at oplysningerne ikke må viderebehandles til andre formål.
-
Der må ikke behandles flere oplysninger, end hvad der er nødvendigt som led i viderebehandling til videnskabelige eller statistiske formål.
-
Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
-
Personoplysninger skal slettes, anonymiseres, tilintetgøres eller tilbageleveres – således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger – når behandlingen heraf ikke længere er nødvendig som led i viderebehandling til videnskabelige eller statistiske formål.
Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at databeskyttelsesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.