Imajući u vidu da je izrada novih i detaljnih uputstava za obradu zdravstvenih podataka deo godišnjeg plana rada Evropskog odbora za zaštitu podataka („EDPB“), EDPB je do sada usvojila Smernice 03/2020 o obradi podataka koji se tiču zdravlja u svrhe naučnog istraživanja u kontekstu izbijanja COVID-19 („Smernice“) i to 21. aprila 2020. godine, sa ciljem da se garantuje svako pravo na zaštitu ličnih podataka u trenucima kada se svet bori sa koronavirusom.
Zbog pandemije, u toku su mnogi istraživački napori u borbi protiv SARS-CoV-2 kako bi se što brže došlo do rezultata istraživanja. Što se tiče primene Opšte uredbe o zaštiti podataka o ličnosti („GDPR“), o tome je bilo reči u jednom od naših prethodnih članaka. Međutim, važno je napomenuti da GDPR predstavlja sveobuhvatnu regulativu koja ima više odredaba koje omogućavaju obradu ličnih podataka u svrhe naučnih istraživanja vezanih za pandemiju COVID-19, a u skladu sa osnovnim pravima na zaštitu privatnosti i ličnih podataka. GDPR takođe predviđa posebno odstupanje od zabrane obrade određenih posebnih kategorija ličnih podataka kao što su zdravstveni podaci, kada je to neophodno da bi se sprovelo naučno istraživanje. Ključ za zaštitu prava svih lica je da se sloboda nauke koja je predviđena Poveljom Evropske unije o osnovnim pravima, s jedne strane, kao i pravila o zaštiti podataka o ličnosti sadržanih u GDPR, s druge, budu međusobno usklađena i na taj način pruže ishod kojim je ispoštovana suština i jedne i druge grupe pravila.
Šta se podrazumeva pod podacima koji se odnose na zdravlje?
Podaci koji se odnose na zdravlje zaslužuju viši stepen zaštite od ostalih manje osetljivih podataka, jer upotreba takvih najosetljivijih podataka može imati značajne štetne posledice po subjekte o čijim podacima se radi. Zbog ovoga, podaci koji se odnose na zdravlje tumače se najšire moguće. U Smernicama, EDPB daje primere šta podaci koji se odnose na zdravlje, između ostalog mogu da podrazumevaju:
Koji bi bili pravni osnovi za korišćenje ovih podataka?
Prvi osnov koji propisuje GDPR i koji može poslužiti kao pravni osnov za obradu podataka koji se odnose na zdravlje jeste saglasnost. Saglasnost mora biti data slobodno, mora biti konkretna, nedvosmislena i data izričito, izjavom ili jasnom konkludentnom radnjom.
Drugo su nacionalna zakonodavstva. EU, kao i zakonodavci država članica, mogu usvojiti određena pravila u skladu sa GDPR sa ciljem pružanja pravnog osnova za obradu podataka koji se odnose na zdravlje, a koriste se u svrhe naučnog istraživanja.
Koja su osnovna načela na kojima se zasniva zaštita podataka o ličnosti?
Načelo transparentnosti i informisanosti podrazumeva da podaci o ličnosti moraju da budu obrađeni pravično i transparentno u odnosu na lice na koje se odnose. Lice na koje se odnose podaci koji se obrađuju mora biti pojedinačno informisano o postojanju postupka obrade i o tome da se lični (zdravstveni) podaci obrađuju u naučne svrhe.
Načelo ograničene svrhe i pretpostavke kompatibilnosti – kao opšte pravilo koje propisuje GDPR, podaci se prikupljaju u svrhe koje su konkretno određene, izričite i zakonite i dalje se ne mogu obrađivati na način koji nije u skladu sa tim svrhama.
Prema načelu minimizacije i ograničenju čuvanja podataka, minimizacija podataka u naučnom istraživanju može se postići preciznom formulacijom istraživačkih pitanja i procenom vrste i količine podataka potrebnih za adekvatno odgovaranje na istraživačka pitanja. Koji su podaci potrebni zavisi od svrhe istraživanja čak i kada je istraživanje ispitivačke prirode, te uvek treba da bude u skladu sa načelom ograničenja u odnosu na svrhu obrade u skladu sa GDPR. Potrebno je istaći da se podaci uvek moraju anonimizovati ukoliko je moguće izvesti naučno istraživanje sa anonimnim podacima. Pored toga, određuju se i proporcionalni rokovi skladištenja.
Načelo integriteta i poverljivosti podrazumeva da osetljivi podaci, poput zdravstvenih podataka, zaslužuju odgovarajuću zaštitu jer njihova obrada potencijalno dovodi do negativnog uticaja na lice na koje se podaci odnose. Potrebno je obratiti pažnju na očekivanu ponovnu upotrebu zdravstvenih podataka u naučne svrhe što dovodi do povećanja broja i vrste organa koji obrađuju takve podatke.
Uopšteno govoreći, situacije poput trenutne pandemije COVID-19 ne odlažu niti ograničavaju mogućnost lica na koje se podaci odnose da ostvare svoja prava prema GDPR. Ipak, GDPR omogućava zakonodavcu da ograniči mogućnost ostvarivanja pojedinih prava. U svrhu istraživanja, a posebno u vezi sa pandemijom COVID-19, verovatno će postojati potreba za međunarodnom saradnjom koja može podrazumevati i međunarodni prenos zdravstvenih podataka u svrhu naučnih istraživanja van Evropskog ekonomskog prostora („EEA“). Kada se vrši prenos podataka o ličnosti u zemlju koja nije član EEA ili u međunarodnu organizaciju, taj prenos mora biti u skladu sa pravilima GDPR, dok onaj ko obrađuje podatke ima obavezu da informiše lica na koje se podaci odnose o svojoj nameri da izvrši prenos podataka o ličnosti u druge države i međunarodne organizacije.
Naročito, kada razmatraju kako da postupaju u skladu sa uslovima prenošenja podataka o ličnosti u drugu državu ili međunarodnu organizaciju, onaj ko takve podatke obrađuje treba da proceni koliki je rizik po prava i slobode lica na koje se podaci odnose pri svakom prenosu, i u tom pogledu da optira za rešenja koja garantuju zaštitu osnovnih prava kao i zakonitu obradu podataka, čak i nakon prenosa podataka.
Za više informacija možete nas kontaktirati na covid19@geciclaw.com