Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Region Hovedstadens behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av ärendet framgår att Datatilsynet år 2021 inledde en granskning av huruvida Region Hovedstaden uppfyller sin skyldighet att tillhandahålla information i samband med behandling av uppgifter för (framtida) forskning.
Av artikel 13 GDPR följer att om personuppgifter om en registrerad samlas in från den registrerade ska den personuppgiftsansvarige vid tidpunkten för insamlingen ge den registrerade en uppsättning uppgifter om behandlingen.
Enligt artikel 12.1 GDPR ska den personuppgiftsansvarige vidta lämpliga åtgärder för att tillhandahålla all information som avses i bland annat artikel 13 GDPR till den registrerade i en kortfattad, överskådlig, lättförståelig och tillgänglig form och på ett enkelt och lättfattligt språk, särskilt när informationen är särskilt riktad till ett barn. Informationen ska lämnas skriftligen eller på annat sätt, i förekommande fall även på elektronisk väg.
När det i artikel 12.1 GDPR anges att informationen ska tillhandahållas på ett “öppet” sätt innebär detta enligt Datatilsynet att den registrerade måste kunna förvissa sig i förväg om behandlingens omfattning och konsekvenser och att han eller hon inte i efterhand får få reda på hur hans eller hennes personuppgifter har använts.
Om en personuppgiftsansvarig är medveten om att dess tjänster är tillgängliga för sårbara personer i samhället, inklusive personer som har svårt att få tillgång till information, måste dessutom dessa registrerades sårbarhet enligt Datatilsynet beaktas i den personuppgiftsansvariges bedömning av hur kravet på öppenhet ska uppfyllas i förhållande till dessa registrerade.
På grundval av den information som lämnats har Datatilsynet utgått från att det är allmän praxis i Region Hovedstaden att överskottsbiologiskt material från patientbehandling lagras i regionens biobank i syfte att använda materialet för framtida forskning.
Region Hovedstaden har uppgett att regionen uppfyller informationsskyldigheten genom att hänvisa och länka till regionens integritetspolicy i ett antal standardprodukter som patienterna får. Integritetspolicyn innehåller ett avsnitt om behandling av uppgifter i forskningssyfte. När nyinbjudna patienter får en digital inbjudan från Region Hovedstaden får de också en förberedande broschyr med information om patienträttigheter. I broschyren hänvisas också till integritetspolicyn, och sedan november 2020 innehåller broschyren ett avsnitt om regionens användning av blod- och vävnadsprover för forskning samt en länk till regionens webbplats där du kan läsa mer.
Region Hovedstadens integritetspolicy är dock enligt Datatilsynet av allmän karaktär och riktar sig till patienter, anställda och medborgare, och i texten om forskning anges endast att regionen använder personuppgifter i samband med forskningsverksamhet, utan att närmare ange i vilket sammanhang behandlingen sker.
Mot denna bakgrund anser Datatilsynet att det inte kan antas att det är tydligt för en patient att avsnittet om forskning är riktat till honom eller henne, inklusive att avsnittet är riktat till alla patienter och inte bara till patienter som till exempel har registrerat sig för en forskningsstudie och därmed är medvetna om att uppgifter behandlas i detta syfte.
Sammantaget anser Datatilsynet därför att Region Hovedstaden, när det gäller regionens behandling av uppgifter i syfte att bedriva (framtida) forskning, inte har tillhandahållit den information som avses i artikel 13 GDPR på ett öppet och lättförståeligt sätt, vilket krävs enligt artikel 12.1 GDPR, vilket gav Datatilsynet anledning att uttrycka kritik.
Datatilsynet rekommenderar även att Region Hovedstaden överväger hur regionen ska uppfylla sin skyldighet att tillhandahålla information i detta avseende i framtiden.