1. Datatilsynet har modtaget Region Midtjyllands anmodning om tilladelse efter databe-skyttelseslovens § 10, stk. 3, til videregivelse af personoplysninger fra en statistisk eller videnskabelig undersøgelse benævnt ”Exploring the diagnostic potential of imaging flow cytometry in patients with myelodysplastic syndrome”.
Oplysningerne ønskes videregivet til Luminex Corporation i USA til brug for en statistisk eller videnskabelig undersøgelse benævnt ”Exploring the diagnostic potential of imaging flow cytometry in patients with myelodysplastic syndrome”.
Region Midtjylland har oplyst, at videregivelsen sker til behandling uden for databeskyt-telsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesforordningens artikel 3, og derfor er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 1.
I den forbindelse har Region Midtjylland oplyst, at EU’s standardkontraktbestemmelser angående overførsel fra en dataansvarlig til en anden dataansvarlig udgør det lovlige grundlag for at foretage overførslen til netop USA.
Datatilsynet meddeler hermed en sådan tilladelse, jf. databeskyttelseslovens § 10, stk. 3, nr. 1.
2. Tilladelsen gives på følgende vilkår, som Region Midtjylland har ansvaret for at over-holde:
1. Der må kun videregives personoplysninger, når det er nødvendigt for den mod-tagende dataansvarliges udførelse af statistiske eller videnskabelige undersø-gelser af væsentlig samfundsmæssig betydning. Hvis Region Midtjylland over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.
2. Videregivelse af personoplysninger skal ske i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende da-taansvarlige.
3. Hvis personoplysningerne videregives ved overførsel over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikker-hedsforanstaltninger. Ved transmission af fortrolige og følsomme personop-lysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende passende kryptering.
4. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
5. Det skal inden videregivelsen påses, at personoplysningerne udelukkende vide-reanvendes til statistiske eller videnskabelige undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder vilkår 7-11.
6. Fra tidspunktet for videregivelsen og efterfølgende skal det kunne dokumente-res, at vilkår 5 er overholdt. Dokumentation skal ske ved indhentelse af en skriftligt begrundet erklæring eller lignende fra den modtagende dataansvarlige.
Vilkår vedrørende den modtagende dataansvarlige
7. Videregivelse skal ske til personer, som af den modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.
8. Der skal gives den fornødne instruktion til de medarbejdere, som har adgang til personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af statistiske eller videnskabelige undersøgelser, og at personoplysningerne ikke senere må behandles i andet end videnskabeligt eller statistisk øjemed.
9. Der må ikke behandles flere oplysninger, end hvad der er nødvendigt af hensyn til udførelsen af den statistiske eller videnskabelige undersøgelse.
10. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.
11. Personoplysninger skal ved undersøgelsens afslutning slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger.
Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyt-telsesforordningen og databeskyttelsesloven. Det skal understreges, at databeskyttel-sesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.