1. Datatilsynet har modtaget Region Hovedstadens anmodning om tilladelse efter databeskyttelseslovens § 10, stk. 3, til videregivelse af personoplysninger fra en statistisk eller videnskabelig undersøgelse benævnt ”H-2-2011-104: Sammenhængen mellem neu-roreceptorforhold målt i dyreeksperimentelle opstillinger eller ved humane funktionelle skanninger og neuroreceptorforhold i humant hjernevæv og blod udtaget i forbindelse med epilepsikirurgi”.
Region Hovedstaden har oplyst, at der ønskes offentliggjort pseudonymiserede oplys-ninger om tre personer, herunder helbredsoplysninger i form af alder, køn, oplysning om diagnose samt gen-ekspression.
Region Hovedstaden har endvidere oplyst, at videregivelsen sker med henblik på offentliggørelse af oplysningerne i European Genome-phenome Archive by The European Bioinformatics Institute og i tidsskrifterne Nature Neuroscience og Nature Communicati-ons, hvorved videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 3.
Vedrørende offentliggørelsen i European Genome-phenome Archive by The European Bioinformatics Institute har Region Hovedstaden oplyst, at de uploadede data ikke skal være frit tilgængelige, men at forespørgsler/downloads skal godkendes af en specielt nedsat styregruppe (Data Access Committee) bestående af repræsentanter fra Region Hovedstaden.
Region Hovedstaden har endelig oplyst, at overførslen til tidsskriftet Nature Neuroscience sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. forordningens artikel 3, da tidsskriftet har adresse i USA. Overførslen er således omfattet af databeskyttelseslovens § 10, stk. 3, nr. 1. Region Hovedstaden har i forlængelse heraf oplyst, at overførslen sker på baggrund af EU-kommissionens standardkontakter.
Datatilsynet meddeler hermed en sådan tilladelse, jf. databeskyttelseslovens § 10, stk. 3, nr. 1 og 3.
Datatilsynet har lagt vægt på, at begge tidsskrifter fremgår af BFI-listen på Uddannelses- og Forskningsministeriets hjemmeside på niveau 2 (højt niveau). Datatilsynet har endvidere lagt vægt på, at oplysningerne i European Genome-phenome Archive by The European Bioinformatics Institute ikke skal være frit tilgængelige, men at downloads skal godkendes af en specielt nedsat styregruppe.
2. Tilladelsen gives på følgende vilkår, som Region Hovedstaden har ansvaret for at overholde:
1. Der må kun videregives personoplysninger, når videregivelse er nødvendig som led i viderebehandling til statistiske eller videnskabelige formål. Oplysningerne må ikke senere behandles i andet end videnskabeligt eller statistisk øjemed. Hvis Region Hovedstaden over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.
2. Videregivelse af personoplysninger skal ske i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige.
3. Hvis personoplysningerne videregives ved overførsel over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikkerhedsforanstaltninger. Ved transmission af fortrolige og følsomme personoplysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende passende kryptering.
4. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
5. Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til statistiske eller videnskabelige undersøgelser. Endvidere skal det påses, at de modtagende dataansvarlige overholder vilkår 7-12.
6. Fra tidspunktet for videregivelsen og efterfølgende skal det kunne dokumenteres, at vilkår 5 er overholdt. Dokumentation skal ske ved indhentelse af en skriftligt begrundet erklæring eller lignende fra de modtagende dataansvarlige.
Vilkår vedrørende de modtagende dataansvarlige
7. Videregivelse skal ske til personer, som af de modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.
8. Ved videregivelse der sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign. – eksempelvis med henblik på udførelse af en fagfællebedømmelse – må personoplysninger hos de modtagende dataansvarlige alene gøres tilgængelig for personer, der har et konkret og sagligt formål med behandlingen heraf.
9. Der skal gives den fornødne instruktion til de medarbejdere, som har adgang til personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af statistiske eller videnskabelige undersøgelser, og at personoplysningerne ikke senere må behandles i andet end videnskabeligt eller statistisk øjemed.
10. Der må ikke behandles flere oplysninger, end hvad der er nødvendigt som led i viderebehandling til statistiske eller videnskabelige formål.
11. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
12. Personoplysninger skal ved undersøgelsens afslutning slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger.
Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at databeskyttelsesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.