Videregivelse fra Aarhus Universitet til Ichan School of Medicine at Mount Sinai (§ 10, stk. 3, nr. 1)

Dato: 27-06-2019
Tilladelse Offentlige myndigheder

Datatilsynet har meddelt tilladelse til videregivelse til tredjeland fra Aarhus Universitets undersøgelse ”Betændelse i hjertemuskulaturen – arvelige faktorers betydning for udvikling og forløbet af sygdommen” til Ichan School of Medicine at Mount Sinais undersøgelse ”Betændelse i hjertemuskulaturen – arvelige faktorers betydning for udvikling og forløbet af sygdommen”, jf. databeskyttelseslovens § 10, stk. 3, nr. 1

1. Datatilsynet har modtaget Aarhus Universitets anmodning om tilladelse efter databeskyttelseslovens[1] § 10, stk. 3, til videregivelse af personoplysninger fra en statistisk eller videnskabelig undersøgelse benævnt ”Betændelse i hjertemuskulaturen – arvelige faktorers betydning for udvikling og forløbet af sygdommen”.

Oplysningerne ønskes videregivet til Ichan School of Medicine at Mount Sinai til brug i en statistisk eller videnskabelig undersøgelse benævnt ”Betændelse i hjertemuskulaturen – arvelige faktorers betydning for udvikling og forløbet af sygdommen”.

Aarhus Universitet har oplyst, at videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesforordningens artikel 3, og derfor er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 1.

Aarhus Universitet har endvidere oplyst, at videregivelsen vedrører biologisk materiale, hvorfor videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 2.

Aarhus Universitet har endelig telefonisk oplyst, at der er tale om en videregivelse til en selvstændig dataansvarlig, og at overførslen til USA sker på baggrund af EU-kommissionens standardkontrakter.

Datatilsynet meddeler hermed en sådan tilladelse, jf. databeskyttelseslovens § 10, stk. 3, nr. 1 og 2.

Det bemærkes, at denne tilladelse alene vedrører de personer i det konkrete projekt, der er afgået ved døden inden for de seneste 10 år, jf. databeskyttelseslovens § 2, stk. 5.

2. Tilladelsen gives på følgende vilkår, som Aarhus Universitet har ansvaret for at overholde:

  1. Der må kun videregives personoplysninger, når det er nødvendigt for den modtagende dataansvarliges udførelse af statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning. Oplysningerne må ikke senere behandles i andet end videnskabeligt eller statistisk øjemed. Hvis Aarhus Universitet over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.

  2. Videregivelse af personoplysninger skal ske i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige

  3. Hvis personoplysningerne videregives ved overførsel over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikkerhedsforanstaltninger. Ved transmission af fortrolige og følsomme personoplysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende passende kryptering.

  4. Ved transport af biologisk materiale skal der træffes passende sikkerhedsforanstaltninger for at imødegå risici forbundet med transporten.

  5. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.

  6. Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til statistiske eller videnskabelige undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder vilkår 8-12.

  7. Overholdelse af vilkår 6 skal kunne dokumenteres på tidspunktet for videregivelsen. Dokumentation kan blandt andet ske med en skriftligt begrundet erklæring fra den modtagende dataansvarlige.

Vilkår vedrørende den modtagende dataansvarlige

  1. Videregivelse skal ske til personer, som af den modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.

  2. Der skal gives den fornødne instruktion til de medarbejdere, som har adgang til personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af statistiske eller videnskabelige undersøgelser, at personoplysningerne ikke senere må behandles i andet end videnskabeligt eller statistisk øjemed.

  3. Der må ikke behandles flere oplysninger, end hvad der er nødvendigt af hensyn til udførelsen af den statistiske eller videnskabelige undersøgelse. Ved modtagelsen af oplysningerne skal personoplysninger, der ikke er nødvendige af hensyn til den statistiske eller videnskabelige undersøgelse, hurtigst muligt slettes, tilintetgøres eller tilbageleveres.

  4. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.

  5. Personoplysninger skal ved undersøgelsens afslutning slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger.

Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen[2] og databeskyttelsesloven. Det skal understreges, at databeskyttelsesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.

 

[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).