2019年4月10日,欧盟委员会卫生和食品安全总局发布了一份经过修订的问答,分析了欧盟临床试验法规(“CTR”)与欧盟通用数据保护-法规(“GDPR”)之间的相互作用,修订后的Q&A考虑到了舆-论的欧洲数据保护局(“EDPB”),对2019年1月23日发布的关于同一主题(我们将在我们的博客文章讨论在这里)。
下面,我们总结了委员会更新的问答的主要内容。
处理健康数据的法律依据
有益的是,问答在GDPR下处理了临床试验数据处理的适当法律依据,这是成员国近几个月似乎采用不同方法的问题。与EDPB意见一样,问答区分了与临床试验相关的两种不同的处理目的,并为每种目的赋予不同的法律依据:
1.用于患者安全目的的处理,例如安全报告,存档和检查,这是CTR所要求的(因此可以基于GDPR的第6(1)(c)和9(2)(i)条),以及不需要同意的。
2.用于科学研究目的的处理,“不能从法律义务中获得”,例如在CTR下产生的处理。在这种情况下,数据控制器可以考虑许多不同的法律依据,这取决于临床试验的性质。委员会注意到,处理可能有利于公共利3.基于合法利益或基于参与者同意(每当处理健康或遗传数据等特殊数据时,每次与第9条中的法律依据相结合) )。
4.虽然通常很有帮助,但委员会在处理用于科研目的的数据时明显避免支持任何特定的法律依据,而是由赞助者和研究机构来决定。问答还没有强调,除了同意之外,问答中提到的GDPR第9条规定的剩余法律依5.据必须以联盟或成员国法律为基础(CTR显然被排除在可能性之外 - 见(2) 。) 以上)。实际上,由于缺乏此类法律,在许多情况下,同意可能是唯一可行的选择。
关于同意,委员会的问答规定,试验受试者同意参加试验必须区别于同意处理其个人数据,这一主题也出现在EDPB指南中。因此,试验参与者理论上可以撤回对前者的同意,但不能同意后者。但是,如果数据处理是基于试验对象的同意并且他或她稍后撤回该同意,则控制器应该停止处理数据并将其删除,除非它具有继续处理数据的另一个法律依据(例如,出于安全目的)。
奇怪的是,问答未能根据第17(3)(d)条讨论GDPR对删除权的科学研究豁免 - 即如果数据用于科学研究并且遵守删除请求将使得不可能或严重损害研究目标,则擦除权不适用。
进一步利用研究数据
关于进一步使用临床试验数据,委员会问答似乎承认,CTR对进一步使用此类数据的限制(要求对试验方案范围之外使用的数据的同意 - 见此处)在其中一种替代方案中被免除GDPR的法律依据适用。简而言之,同意似乎不会成为进一步使用临床试验数据的唯一法律依据。
此外,问答强调了这样一个事实,即根据GDPR第5(1)(b)条,用于科学研究目的的临床试验数据的二次使用默认与其原始用途兼容。因此,没有必要获得新的同意以进行额外的二级研究。如果二级研究基于同意,则问答重复EDPB关于依赖过度广泛同意的警示语言(尽管GDPR独奏文本支持研究背景下的广泛同意)。同意原则,这是我们更详细地讨论这种限制性解释这里,限制了它的实用性和与GDPR的其他研究型的规定冲突。
最终,当委员会在问答中指出“有关特定同意要求的义务仍然适用时”,读者可能会因为在GDPR中提及广泛同意而感到困惑。事实上,问答解释了同意此外,二次使用必须与原始同意分开,可能涉及收集同意的“单独表格”,有效地确保原始同意不能是“广泛”同意。然而,委员会的建议引出了一个问题,即为什么有人会寻求依赖同意,因为委员会早先的让步是进一步使用临床试验数据进行科学研究与其原始用途相符。
杂项观察
最后,问答还包含一些其他值得注意的评论,包括在欧盟以外建立并在欧盟进行临床试验的研究赞助商受GDPR的约束,因为他们正在“监测”欧盟数据主体(即试验参与者)或在欧盟提供服务,并且GDPR的转移限制也适用于临床试验数据的转移。
委员会的文件还明确指出,为了满足GDPR的增加透明度要求,应更新并向试验对象提供正在进行的试验中使用的GDPR前知情同意书,但是在获得试验对象的新的同意时,它是开放的。必要。在这方面,问答并未提供比EDPB现有指南中出现的更多见解。