2019年4月10日,歐盟委員會衛生和食品安全總局發布了一份經過修訂的問答,分析了歐盟臨床試驗法規(“CTR”)與歐盟通用數據保護-法規(“GDPR”)之間的相互作用,修訂後的Q&A考慮到了輿-論的歐洲數據保護局(“EDPB”),對2019年1月23日發布的關於同一主題(我們將在我們的博客文章討論在這裏)。
下麵,我們總結了委員會更新的問答的主要內容。
處理健康數據的法律依據
有益的是,問答在GDPR下處理了臨床試驗數據處理的適當法律依據,這是成員國近幾個月似乎采用不同方法的問題。與EDPB意見一樣,問答區分了與臨床試驗相關的兩種不同的處理目的,並為每種目的賦予不同的法律依據:
1.用於患者安全目的的處理,例如安全報告,存檔和檢查,這是CTR所要求的(因此可以基於GDPR的第6(1)(c)和9(2)(i)條),以及不需要同意的。
2.用於科學研究目的的處理,“不能從法律義務中獲得”,例如在CTR下產生的處理。在這種情況下,數據控製器可以考慮許多不同的法律依據,這取決於臨床試驗的性質。委員會注意到,處理可能有利於公共利3.基於合法利益或基於參與者同意(每當處理健康或遺傳數據等特殊數據時,每次與第9條中的法律依據相結合) )。
4.雖然通常很有幫助,但委員會在處理用於科研目的的數據時明顯避免支持任何特定的法律依據,而是由讚助者和研究機構來決定。問答還沒有強調,除了同意之外,問答中提到的GDPR第9條規定的剩餘法律依5.據必須以聯盟或成員國法律為基礎(CTR顯然被排除在可能性之外 - 見(2) 。) 以上)。實際上,由於缺乏此類法律,在許多情況下,同意可能是唯一可行的選擇。
關於同意,委員會的問答規定,試驗受試者同意參加試驗必須區別於同意處理其個人數據,這一主題也出現在EDPB指南中。因此,試驗參與者理論上可以撤回對前者的同意,但不能同意後者。但是,如果數據處理是基於試驗對象的同意並且他或她稍後撤回該同意,則控製器應該停止處理數據並將其刪除,除非它具有繼續處理數據的另一個法律依據(例如,出於安全目的)。
奇怪的是,問答未能根據第17(3)(d)條討論GDPR對刪除權的科學研究豁免 - 即如果數據用於科學研究並且遵守刪除請求將使得不可能或嚴重損害研究目標,則擦除權不適用。
進一步利用研究數據
關於進一步使用臨床試驗數據,委員會問答似乎承認,CTR對進一步使用此類數據的限製(要求對試驗方案範圍之外使用的數據的同意 - 見此處)在其中一種替代方案中被免除GDPR的法律依據適用。簡而言之,同意似乎不會成為進一步使用臨床試驗數據的唯一法律依據。
此外,問答強調了這樣一個事實,即根據GDPR第5(1)(b)條,用於科學研究目的的臨床試驗數據的二次使用默認與其原始用途兼容。因此,沒有必要獲得新的同意以進行額外的二級研究。如果二級研究基於同意,則問答重複EDPB關於依賴過度廣泛同意的警示語言(盡管GDPR獨奏文本支持研究背景下的廣泛同意)。同意原則,這是我們更詳細地討論這種限製性解釋這裏,限製了它的實用性和與GDPR的其他研究型的規定衝突。
最終,當委員會在問答中指出“有關特定同意要求的義務仍然適用時”,讀者可能會因為在GDPR中提及廣泛同意而感到困惑。事實上,問答解釋了同意此外,二次使用必須與原始同意分開,可能涉及收集同意的“單獨表格”,有效地確保原始同意不能是“廣泛”同意。然而,委員會的建議引出了一個問題,即為什麼有人會尋求依賴同意,因為委員會早先的讓步是進一步使用臨床試驗數據進行科學研究與其原始用途相符。
雜項觀察
最後,問答還包含一些其他值得注意的評論,包括在歐盟以外建立並在歐盟進行臨床試驗的研究讚助商受GDPR的約束,因為他們正在“監測”歐盟數據主體(即試驗參與者)或在歐盟提供服務,並且GDPR的轉移限製也適用於臨床試驗數據的轉移。
委員會的文件還明確指出,為了滿足GDPR的增加透明度要求,應更新並向試驗對象提供正在進行的試驗中使用的GDPR前知情同意書,但是在獲得試驗對象的新的同意時,它是開放的。必要。在這方麵,問答並未提供比EDPB現有指南中出現的更多見解。