Asmens duomenų apsaugos reikalavimų įgyvendinimas biomedicininių tyrimų ir biobankų veikloje
Komisijos sekretorius / Committee Secretary | |
Komisijos pirmininkas / Committee Chairman | |
Komisijos narys / Committee Member | |
Komisijos narys / Committee Member | |
Komisijos narys / Committee Member | |
Komisijos narys / Committee Member | |
Kibiša, Paulius | Komisijos narys / Committee Member |
Darbo tikslas. Įvertinti biomedicininių tyrimų ir biobankų veiklą vykdančių įstaigų asmens duomenų apsaugai keliamų reikalavimų praktinį įgyvendinimą. Uždaviniai. 1. Išanalizuoti 2018 m. gegužės 25 d. įsigaliojusio Bendrojo asmens duomenų apsaugos reglamento reikalavimus, taikomus biomedicininių tyrimų ir biobankų veiklai. 2. Nustatyti priemones, kuriomis biomedicininių tyrimų įstaigos ir biobankai užtikrina asmens duomenų apsaugai keliamus reikalavimus. 3. Įvertinti biomedicininių tyrimų įstaigų ir biobankų pasirengimą suvaldyti rizikas, susijusias su asmens duomenų nutekėjimu. Metodika. Iškeltam darbo tikslui ir uždaviniams pasiekti iš pradžių buvo atlikta sisteminė mokslinės literatūros analizė. Siekiant įvertinti biobankams keliamų asmens duomenų apsaugos reikalavimų praktinį įgyvendinimą bei pasirengimą suvaldyti su tuo susijusias rizikas, atliekamas kokybinis tyrimas. Tyrimo metu buvo vykdomas pusiau struktūruotas interviu, kurio metu surinkti duomenys analizuojami ir lyginami su duomenimis gautais sisteminės literatūros analizės metu. Rezultatai. Tiriamose įstaigose yra patvirtinti visi reikiami dokumentai, kuriuose nustatyta asmens duomenų apsaugos įgyvendinimo tvarka. Tyrimas atskleidė, kad apart patvirtintose taisyklėse minimų sąlygų, konkrečios praktikos, kaip vyksta duomenų – tiek asmens sveikatos duomenų tiek biologinių duomenų naikinimas įstaigose realizuojant asmenų „teisę būti pamirštam“ kol kas nėra, nes iki šiol nei vienos tyrimo metu apklaustų SP įstaigų praktikoje tokio atvejo dar nebuvo. SP įstaigos X atstovas išreiškė nuomonę, kad: 1) biomedicininio tyrimo dalyviui „teisė būti pamirštam“ gali būti nenaudinga, nes gali atriboti nuo gyvybiškai svarbios informacijos, 2) „teisės būti pamirštam“ principo įgyvendinimas medicinos srityje dažnai pažeidžia viešąjį interesą. Abiejų tyrime dalyvavusių įstaigų atstovai tvirtino, kad pagrindinės su asmens duomenų apsauga susijusios rizikos yra galimas duomenų nutekėjimas dėl IRT programų spragų bei darbuotojų neatsargaus duomenų atskleidimo. Nors mokslinio darbo pradžioje buvo įžvelgiamos tik rizikos susijusios su asmens duomenų nutekėjimu, tačiau analizuojant tyrimo metu išryškėjo dar keletas rizikų - BDAR ir nacionalinių teisės normų kolizija bei VDAI pareigūnų kompetencija, taip pat SP įstaigų finansinio pasirengimo suvaldyti asmens duomenų apsaugą stoka. Išvados. 1. Tyrime dalyvavusios įstaigos ėmėsi visų būtinų organizacinių ir techninių priemonių, kad įgyvendintų pagrindinius BDAR reikalavimus, tačiau tyrimas patvirtino išsikeltą hipotezę, kad dalis nuostatų, kurios yra privalomos siekiant įgyvendinti asmens duomenų apsaugą pagal BDAR yra neįgyvendinamos tyrime dalyvavusiose sveikatos priežiūros įstaigose, vykdančiose biomedicininių tyrimų ir biobankų veiklą, dėl reikalavimų taikymo praktikos stokos bei teisės normų kolizijos. 2. Biomedicininio tyrimo atlikimo teisinis pagrindas gali turėti lemiamą reikšmę įstaigų asmens duomenų valdytojo atsakomybės pasidalinimui. Tai gali būti reikšminga rizikos valdymo priemonė. 3. Pagrindinės priemonės dėl duomenų apsaugos kylančioms rizikoms suvaldyti yra investicijos į IRT sistemų saugumo užtikrinimą, darbuotojų apmokymą duomenų apsaugos srityje, duomenų prieinamumo ribojimą, duomenų pseudomizavimą, tačiau įstaigos nėra pasirengę tinkamai suvaldyti rizikas, kylančias dėl teisinio neapibrėžtumo ir finansinių įsipareigojimų.
Aim of the study. To evaluate the practical implementation of the requirements for the protection of personal data of institutions engaged in biomedical research and biobank activities. Objectives. 1. To analyze the requirements of the General Data Protection Regulation, which came into force in May 2018, as it applies to biomedical research and biobank activities. 2. To identify the means by which biomedical research institutions and biobanks ensure the protection of personal data. 3. To assess the readiness of biomedical research institutions and biobanks to manage the risks associated with personal data leakage. Methodology. In order to achieve the goal and tasks of the work, the analysis of the scientific literature was initially carried out. In order to evaluate the practical implementation of the personal data protection requirements for biobanks and the readiness to manage the related risks, qualitative research is carried out. The data of a semi-structured interview is analyzed to determine the problems. Results. Both investigated institutions have prepared the necessary documents, which specify the procedures for the implementation of personal data protection. The study revealed that apart from the conditions mentioned in the rules, the specific procedures for destruction of data - both personal health data and biological data does not exist, as so far none of the SP institutions interviewed during the investigation has had such a case in practice. Representative X expressed the view that: 1) a “right to be forgotten” may be of no use to a biomedical research participant as it may detract from vital information, 2) the implementation of the “right to be forgotten” principle in medicine is often against the public interest. Representatives of both institutions involved in the study agreed that the main risks to the protection of personal data are possible data leaks due to vulnerabilities in ICT programs and careless disclosure of data by employees. Although only risks related to the leakage of personal data were identified at the beginning of the research, the analysis of the study revealed several risks - conflict between GDPR and national legal norms and competence of VDAI officials and lack of financial readiness to manage personal data protection. Conclusions. 1. The participating institutions have taken all necessary organizational and technical measures to implement the essential requirements of the GDPR, but the study confirmed the hypothesis that some of the provisions mandatory for the protection of personal data under the GDPR are not implemented in the participating healthcare institutions conducting biomedical research. and biobanks, due to a lack of enforcement practices and conflicts of law. 2. The legal basis for conducting a biomedical research may be crucial for the division of responsibilities between the controllers of the personal data of the institutions. This can be a significant risk management tool. 3. The main measures to manage data protection risks are investments in the security of ICT systems, data protection training for staff, data availability restrictions, data pseudo-privatization, but institutions are not prepared to adequately manage risks due to legal uncertainty and financial obligations.