Datatilsynet har modtaget Statens Serum Instituts anmodning om tilladelse efter databeskyttelseslovens § 10, stk. 3, til videregivelse af personoplysninger fra en statistisk eller videnskabelig undersøgelse benævnt ”Danmarks Nationale Biobank”.
Oplysningerne ønskes videregivet til Region Hovedstaden til brug i en statistisk eller videnskabelig undersøgelse benævnt ”Nye behandlingsstrategier for motor neuron sygdom (MND)”.
Statens Serum Institut har oplyst, at videregivelsen vedrører biologisk materiale, hvorfor videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 2.
Datatilsynet har noteret sig, at Statens Serum Institut i den fremsendte blanket ikke har erklæret, at oplysningerne er nødvendige af hensyn til udførelsen af den videnskabelige eller statistiske undersøgelse, som oplysningerne skal indgå i. Datatilsynet skal i den forbindelse gøre opmærksom på, at Statens Serum Institut er forpligtet til, efter databeskyttelsesforordningens artikel 5, stk. 1, litra c, alene at videregive personoplysninger som er nødvendige af hensyn til udførelsen af den videnskabelige eller statistiske undersøgelse, som oplysningerne skal indgå i.
Datatilsynet meddeler hermed en sådan tilladelse, jf. databeskyttelseslovens § 10, stk. 3, nr. 2.
Vilkår
Tilladelsen gives på følgende vilkår, som Statens Serum Institut har ansvaret for at overholde:
-
Der må kun videregives personoplysninger, når det er nødvendigt for den modtagende dataansvarliges udførelse af videnskabelige eller statistiske undersøgelser af væsentlig samfundsmæssig betydning. Oplysningerne må ikke viderebehandles til andre formål, jf. databeskyttelseslovens § 10, stk. 2. Hvis Statens Serum Institut over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.
-
Personoplysninger må udelukkende videregives i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige, jf. dog vilkår 3.
-
Hvis det er strengt nødvendigt for udførelsen af den videnskabelige eller statistiske undersøgelse, at den enkelte registrerede kan identificeres, kan disse supplerende oplysninger videregives, således at personoplysningerne kan henføres til bestemte fysiske personer. De supplerende oplysninger skal videregives adskilt fra personoplysningerne til en autoriseret person hos den modtagende dataansvarlige, jf. vilkår 10.
-
Hvis personoplysninger videregives ved overførelse over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikkerhedsforanstaltninger.
-
Ved transmission af fortrolige og følsomme personoplysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende kryptering.
-
Ved transport af biologisk materiale skal der træffes passende sikkerhedsforanstaltninger for at imødegå risici forbundet med transporten.
-
Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
-
Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til videnskabelige og statistiske undersøgelser omfattet af databeskyttelseslovens § 10. Endvidere skal det påses, at den modtagende dataansvarlige overholder vilkår 10-14.
-
Overholdelse af vilkår 8 skal kunne dokumenteres på tidspunktet for videregivelsen. Dokumentation kan blandt andet ske med en skriftligt begrundet erklæring fra den modtagende dataansvarlige.
Vilkår for den modtagende dataansvarlige
-
Videregivelse skal ske til personer, som hos den modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.
-
Der skal gives den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af videnskabelige eller statistiske undersøgelser, og at oplysningerne ikke må viderebehandles til andre formål, jf. databeskyttelseslovens § 10, stk. 2.
-
Der må ikke behandles flere oplysninger, end hvad der er nødvendigt af hensyn til udførelsen af den videnskabelige eller statistiske undersøgelse. Ved modtagelsen af oplysningerne skal personoplysninger, der ikke er nødvendige af hensyn til den videnskabelige eller statistiske undersøgelse, hurtigst muligt slettes, tilintetgøres eller tilbageleveres.
-
Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
-
Personoplysninger skal ved undersøgelsens afslutning slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger. Alternativt kan personoplysningerne overføres til opbevaring i arkiv efter reglerne i den danske arkivlovgivning.
Afsluttende bemærkninger
Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at databeskyttelsesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.