在GDPR时代平衡数据保护和研究需求

图片 1

图片 2

科学期刊和资助机构通常要求研究人员从研究资料库中研究个体遗传数据,以增加数据共享,以便实现新发现的可重复性,并促进新发现。然而,根据今天(星期一)在欧洲人类遗传学会年会上提交的研究结果,引入欧盟通用数据保护条例(GDPR)等新法规可能会使这一问题复杂化。

欧盟《一般数据保护条例》(GDPR)将于2018年5月25日起正式施行,该条例是近三十年来数据保护立法的最大变动,旨在加强对欧盟境内居民的个人数据和隐私保护。此外,它还将通过统一数据和隐私条例来简化对跨国企业的监管框架。它将取代1995年颁布的《数据保护指令》。

研究人员收集了研究人员面临的实际挑战的经验。他们试图遵守资助者和期刊存放数据的要求经常与GDPR发生冲突,瑞典乌普萨拉大学和意大利博尔扎诺EURAC Research高级研究员Deborah Mascalzoni博士说。如果我们能够遵守法律和资助者的要求,我们需要遵循开放科学的道路,同时考虑道德和法律规则。

1995年的《数据保护指令》95/46/EC是欧盟版的隐私保护条例。其主要目标包括协调数据保护立法,以及规范将个人数据转移到欧盟以外的“第三国”的情形。除了其它一系列措施,各个盟国还各自成立独立的公共机构,监督该指令的实施,并作为与企业和公民互动的监管机构。整体而言,该指令符合经济合作与发展协会(OECD)的最初建议以及隐私权是基本人权的核心概念。

根据GDPR,研究人员有权撤销对进一步使用其数据的同意。为了行使这一权利,必须告知他们在研究资料库中处理他们的数据,但是一些资料库的建立方式可能使研究人员难以遵守法律。另一个挑战在于GDPR要求数据处理仅限于实现研究目标所需的内容,因此排除了长期保留未指定用途的数据。销毁此类数据会消除将来可能有用的资源,从而降低研究效率。

虽然《数据保护指令》旨在团结不同盟国的立法,但这只是一项指令,当置换到各国独立的法律时仍有一定的解释空间。加上当今数据格局的快速变化,尤其是Facebook、LinkedIn等社交平台以及云技术的兴起,势必要升级欧盟地区的监管环境。即将到来的GDPR是一项更大的立法,并且在各个成员国即刻可执行。

但是,Mascalzoni博士和她的研究员Heidi Beate Bentzen博士(挪威奥斯陆大学法学硕士)说,这个问题的解决方案很容易获得。目前的困难源于这样一个事实,即法律和道德设计并不总是从一开始就嵌入到系统的规划中。这意味着这通常是作为事后补充添加的,这是一种修复一个案例但不是长期解决方案的补丁。虽然GDPR需要与研究人员的日常工作交织在一起,但它仍然是一个相当新的规则。

条例 vs. 指令

如果你在实验室中引入一种新技术,你需要考虑它并使其适用于你现有的系统,例如IT和其他实验室设备。它与GDPR相同,本质上是一个很好的部分我们现在面临的储存库是,他们通常不在欧盟之外或在一个欧盟成员国(作为英国模式),而不考虑所有欧盟成员国的法规,Mascalzoni博士说。

这项变化的一个重要特征就是欧盟GDPR是一项条例取代原有的指令。条例直接适用于欧盟各成员国,而对于指令,各成员国有权酌情决定数据保护法的实施。因而,除了严格的数据和隐私保护,条例的实施还将通过在欧盟地区统一数据和隐私法规而简化监管框架。对于跨国企业来说,这将帮助他们在与多个数据和隐私保护机构沟通时消除当地法律之间的不一致性,从而降低行政成本和负担。

由于法律限制阻止他们在期刊库中共享个人级别的遗传数据,研究人员目前可能会面临将问题提交给某些期刊的问题。他们可能能够与审阅者和编辑人员共享数据,在某些情况下还可以与其他研究人员共享数据,这些研究人员为特定目的请求数据,但不是更广泛。在这些案件中,期刊需要重新考虑他们的政策,Mascalzoni博士说。由于参与者的信任对研究的未来至关重要,我们惊讶地发现,研究资料库尚未改变他们的运作方式,而且期刊和资助者没有修改他们的政策来解释GDPR。

处罚力度加大

研究人员说,另一种方法是承认相互对等的政策。如果法律禁止某种做法,则很难要求个别科学家不服从或被排除在外,因此应适用例外和豁免。

GDPR将继续通过监管机构和法院执行,除了民事补救还有刑事和行政处罚。然而,根据国际隐私专业人士协会的数据,GDPR加大了行政处罚的力度,根据案情情况最高可罚款两千万欧元,或公司年营业额的4%。

我们希望我们的工作能够展示建立符合GDPR标准的研究资料库的紧迫性,并使资助机构和期刊的要求适应GDPR。如果我们要在一个开放,高效的科学环境中运作,我们需要建立一个安全的地方Mascalzoni博士总结说,研究人员和患者可以参与,知道人权和研究同时得到认真对待。

新扩大的管辖权将影响在欧盟地区开展业务的中国企业

ESHG会议主席,英国泰恩河畔纽卡斯尔纽卡斯尔大学遗传医学研究所所长Joris Veltman教授说:数据共享对于科学进步至关重要,特别是在我们需要结合的人类遗传学领域临床和遗传数据,以了解每个人的基因组中存在的数百万种遗传变异的临床影响。本研究调查了新的欧盟数据保护法规如何影响数据共享,以及应该采取哪些措施来实现这一目标。负责任的态度。

该条例的一个重要特征是新扩大的管辖权,可能会影响到欧盟以外的企业。新条例适用于为欧盟境内的个人提供商品和服务,或监控个人行为(如商业网站或移动应用的运营商)的企业。这一规定将影响很多中国企业。

GDPR规定同意书将仍是处理个人数据的一个要求,并为同意书设立了更严格的条件。EUDataProtectionLaw.com指出,对这些条件的定义是“数据主体通过申明或一个清晰的肯定动作,在知情的情况下自主、具体而明确地表明自己的意愿,即表示他们同意个人相关数据被处理。”

规定新权利

欧盟GDPR还建立了两项新的个人隐私权,“删除权”和“移植权”。删除权是对“被遗忘权”的扩充,让个人有权要求删除其个人数据。而移植权则让个人可以更轻松地访问自己的数据。个人可以要求将其数据从一个供应商转移到另一个供应商。此类数据转移将为个人创造更多方便,而加大了供应商之间的竞争。

下一篇:没有了
  • 首页
  • 电话
  • 新甫京科学