Videregivelse fra Region Hovedstaden med henblik på offentliggørelse i tidsskriftet "Annals of Blood" (§ 10, stk. 3, nr. 1 og 3)

Dato: 28-03-2022
Tilladelse Offentlige myndigheder

Datatilsynet har meddelt tilladelse til Region Hovedstadens videregivelse af personoplysninger fra undersøgelsen ”Foster Blodtype Opgørelse” med henblik på offentliggørelse i tidsskriftet "Annals of Blood" og i tidsskriftets database.

1. Datatilsynet har nu behandlet Region Hovedstadens anmodning om tilladelse efter databeskyttelseslovens § 10, stk. 3, til videregivelse af personoplysninger fra en statistisk eller videnskabelig undersøgelse benævnt ”Foster Blodtype Opgørelse”.

Region Hovedstaden har oplyst, at videregivelsen sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign., hvorved videregivelsen er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 3.

Region Hovedstaden har tillige oplyst, at videregivelsen sker til behandling uden for databeskyttelsesforordningens territoriale anvendelsesområde, jf. databeskyttelsesfor-ordningens artikel 3, og derfor er omfattet af databeskyttelseslovens § 10, stk. 3, nr. 1.

Oplysningerne ønskes videregivet til tidsskriftet ”Annals of Blood” samt i tidsskriftets database. Tidsskriftet er hjemmehørende i Hong Kong.

Region Hovedstaden har i forlængelse heraf oplyst, at den pågældende database er tilgængelig for enhver, og at der således ikke er nogen forudgående godkendelsesproces for adgang til indholdet i databasen.

Region Hovedstaden har herudover oplyst, at offentliggørelsen vedrører pseudonymiserede oplysninger om ”den såkaldte K blodtype serologisk bestemt for mor og den prædikterede K blodtype for fostret samt den serologisk bestemte K blodtype fra navlesnorsblod for det nyfødte barn.”

2. Datatilsynet meddeler – efter at sagen har været behandlet på et møde i Datarådet – hermed en sådan tilladelse efter databeskyttelseslovens § 10, stk. 3, nr. 1 og 3. Videregivelse skal ske under iagttagelse af de vilkår, som fremgår nedenfor.

Datatilsynet har lagt vægt på Region Hovedstadens oplysninger om, at der er tale om et internationalt anerkendt videnskabeligt tidsskrift med fagfællebedømmelse.

Om baggrunden for nedenstående vilkår 8 bemærker Datatilsynet, at en vid offentliggørelse af en undersøgelses ”rådata” med henblik på offentliggørelse af en videnskabelig artikel i et anerkendt videnskabeligt tidsskrift el.lign. efter tilsynets opfattelse ikke kan rummes inden for rammerne af databeskyttelseslovens § 10, stk. 3, nr. 3.

3. Tilladelsen gives på følgende vilkår, som Region Hovedstaden har ansvaret for at overholde:

1. Der må kun videregives personoplysninger, når videregivelse er nødvendig som led i viderebehandling til statistiske eller videnskabelige formål. Oplysningerne må ikke senere behandles i andet end videnskabeligt eller statistisk øjemed. Hvis Region Hovedstaden over for den registrerede har oplyst, at oplysningerne ikke vil blive videregivet, må der ikke ske videregivelse.

2. Videregivelse af personoplysninger skal ske i pseudonymiseret form, således at oplysningerne ikke er umiddelbart personhenførbare for den modtagende dataansvarlige.

3. Hvis personoplysningerne videregives ved overførsel over internettet eller andet eksternt netværk, skal den afgivende dataansvarlige træffe passende sikkerhedsforanstaltninger. Ved transmission af fortrolige og følsomme personoplysninger over internettet eller eksterne netværk skal den dataansvarlige som minimum anvende passende kryptering.

4. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.

5. Det skal inden videregivelsen påses, at personoplysningerne udelukkende videreanvendes til statistiske eller videnskabelige undersøgelser. Endvidere skal det påses, at den modtagende dataansvarlige overholder vilkår 7-12.

6. Fra tidspunktet for videregivelsen og efterfølgende skal det kunne dokumenteres, at vilkår 5 er overholdt. Dokumentation skal ske ved indhentelse af en skriftligt begrundet erklæring eller lignende fra den modtagende dataansvarlige.

Vilkår vedrørende den modtagende dataansvarlige

7. Videregivelse skal ske til personer, som af den modtagende dataansvarlige er autoriseret til at have adgang til de pågældende personoplysninger. Der må kun autoriseres personer, der er beskæftiget med personoplysningerne. De enkelte personer må ikke autoriseres til anvendelser, som de ikke har behov for.

8. Ved videregivelse der sker med henblik på offentliggørelse i et anerkendt videnskabeligt tidsskrift el.lign. – eksempelvis med henblik på udførelse af en fagfællebedømmelse – må personoplysninger hos den modtagende dataansvarlige alene gøres tilgængelig for personer, der har et konkret og sagligt formål med behandlingen heraf.

9. Der skal gives den fornødne instruktion til de medarbejdere, som har adgang til personoplysningerne. Medarbejderne skal i den forbindelse gøres bekendt med, at personoplysningerne alene må behandles med henblik på udførelse af statistiske eller videnskabelige undersøgelser, og at personoplysningerne ikke senere må behandles i andet end videnskabeligt eller statistisk øjemed.

10. Der må ikke behandles flere oplysninger, end hvad der er nødvendigt som led i viderebehandling til statistiske eller videnskabelige formål.

11. Der skal i øvrigt i overensstemmelse med databeskyttelsesforordningens artikel 32 gennemføres passende tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder med henblik på at sikre et sikkerhedsniveau, der passer til disse risici.

12. Personoplysninger skal ved undersøgelsens afslutning slettes, anonymiseres, tilintetgøres eller tilbageleveres, således at det efterfølgende ikke er muligt at identificere fysiske personer ud fra oplysningerne eller i kombination med andre oplysninger.

Ovenstående vilkår er supplerende og præciserende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det skal understreges, at databeskyttelsesforordningen og databeskyttelsesloven således finder anvendelse i det omfang, at der er tale om forhold, som ikke er reguleret i de ovenstående vilkår.

4. Datatilsynet bemærker, at Region Hovedstaden har oplyst, at der skal overføres personoplysninger til tidsskriftet Annals of Blood i Hong Kong, og at overførselsgrundlaget for overførslen er EU-Kommissionens standardkontrakter.

Datatilsynet bemærker hertil, at EU-Domstolen den 16. juli 2020 afsagde dom i en sag , som vedrører overførsel af personoplysninger til en dataimportør etableret i USA. Dommen fastslår, at det påhviler en dataeksportør, der ønsker at overføre oplysninger til såkaldte usikre tredjelande – herunder Hong Kong – at vurdere, om beskyttelsesniveauet i det væsentligste svarer til den beskyttelse, der er i EU, og dermed ikke undermineres af forholdene i tredjelandet. Ved vurderingen vil det eksempelvis være relevant at kigge på lovgivningen i tredjelandet, herunder myndighedernes muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder. Der henvises i den forbindelse til Databeskyttelsesrådets anbefalinger: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_en.

Hvis vurderingen viser, at beskyttelsesniveauet ikke i det væsentligste svarer til beskyttelsesniveauet i EU, påhviler det Region Hovedstaden at vurdere, om der kan indføres supplerende foranstaltninger med henblik på at sikre et tilsvarende beskyttelsesniveau. Der henvises i den forbindelse til Databeskyttelsesrådets anbefalinger om supplerende foranstaltninger, der blev sendt i høring den 11. november 2020: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en.

Hvis undersøgelserne viser, at der ikke kan sikres et tilstrækkeligt beskyttelsesniveau ved brug af overførselsværktøjerne i databeskyttelsesforordningen – og undtagelserne i artikel 49 heller ikke kan anvendes – kan der ikke overføres personoplysninger til Hong Kong.

Datatilsynet bemærker desuden, at Kommissionen den 4. juni 2021 har vedtaget nye standardkontrakter. De gamle standardkontrakter ophæves med virkning fra den 27. september 2021. Kontrakter om overførsel af personoplysninger ved brug af de gamle standardkontakter, som er indgået inden den 27. september 2021, vil fortsat kunne anvendes frem til den 27. december 2022. Det forudsætter dog, at den behandling der er genstand for kontrakten forbliver uændret, og at anvendelsen af standardkontrakten sikrer, at overførslen af personoplysninger er omfattet af fornødne garantier.

Datatilsynet bemærker afslutningsvis, at det er den dataansvarlige afgiver (i dette tilfælde Region Hovedstaden), der ved overførslen har ansvaret for at påvise, at der foreligger et overførselsgrundlag.