GDPR:研究启示

通用数据保护条例(GDPR)适用于欧盟组织处理的任何“个人数据”, 以及在欧盟任何地方处理的人们的个人数据.

个人数据是与活着的人有关的数据,从中可以识别他们. 这个定义非常广泛, 并包含包含名称的数据, 邮政编码, 照片, 电子邮件地址, 银行资料, 社交网络帖子, 以及包括IP地址在内的唯一在线标识符, 等. 它甚至包括已假名化的数据(但不包括已按照 ICO业务守则)*,并涵盖自动生成或手动整理的数据.

*数据保护法不适用于以数据主体不再可识别的方式匿名呈现的数据. 有严格的指导方针来确定数据是否真正匿名.

尤其是敏感数据——比如健康数据, 政治观点, 宗教信仰, 或具有唯一识别性的遗传或生物特征数据——被归类为特殊类别的个人数据,需要额外的保护.

它对我这个研究人员有什么影响?

规定要求你公开、公正、透明. 两者都同等重要.

为了合法, 任何处理个人数据的人都需要遵守这样做的六个“法律依据”之一. 对于公共资助的大学研究来说,恰当的解释可能是这样一个事实,即处理是执行“公共利益任务”所必需的. 这向研究参与者保证,该组织是可信的,并将他们的个人数据用于公共利益.  商业资助的研究最有可能在“合法利益”的法律基础下进行.

在哪里处理特殊类别的数据, 比如健康数据, 还需要一个附加条件. 这很可能是“根据保障措施进行科学研究所必需的”。.

保障措施广泛适用于用于研究的个人数据处理, 不只是针对特殊类别. 作为当前良好实践的一部分,这些保障措施应该已经到位. 其中包括获得研究伦理委员会的批准, 只处理必要的个人数据(数据最小化), 尽可能使用匿名或假名.

数据应以适当级别的保护安全地保存, 处理数据的人应该意识到保密的重要性.

那同意呢?

GDPR在“同意”方面造成了一些混乱. Consent can be understood in two different ways: as one of the six lawful bases under GDPR (this is consent as the lawful basis for processing personal data); and as consent to take part in a research project because of ethical or other legal requirements.

根据GDPR,如果您使用“公共利益的任务”作为合法依据,再加上特殊类别个人数据的研究条件, 你做 需要满足GDPR的“同意”要求, 比如每两年得到参与者的再次同意.

然而, 就像你现在一样, 你仍然需要征求参与者的初步同意才能参加你的研究项目. 这是出于道德或其他法律原因,例如 泄露机密信息 符合普通法的保密规定. 同意参与研究可以让参与者控制他们的数据如何被使用.

因此,参与者有双重保证:GDPR“公共利益任务”向他们保证,组织处理个人数据是为了公共利益, 他们同意参与的现有系统使他们能够控制自己的数据如何被使用.

公平透明

除了合法之外,您使用个人数据的研究还需要公平和透明.

公平包括尊重参与者的权利,并确保个人数据的使用符合他们的期望.

透明度对公平非常重要. 有 涉及需要提供给参与者的信息的新要求. 透明度将在公司层面的隐私通知中得到解决,但也将在项目层面得到解决. 你提供的材料通常是参与者了解如何处理他们的个人数据的地方, 所以你需要在你给出的细节上清晰透明.

参与者应了解研究过程. 你需要解释如何在研究中使用数据, 谁会看到, 以及它将保留多长时间. 解释他们的隐私将如何受到保护. 如果你在所有材料中都这样做, 参与者将了解他们的数据对研究工作的价值,并确保他们的个人利益得到保障.

制度流程

研究办公室将要求您提供您的研究项目中任何个人数据处理活动的详细信息, 连同你收集日期的法律依据的详细资料, 在应用点上.

这将使2017威尼斯登陆网站能够证明2017威尼斯登陆网站的合规性,这是新法规的一个关键要求.

进一步的帮助

进一步的信息可在这些页面, 但研究室也可以为与研究数据使用有关的查询提供支持.  请在第一时间联系您的学校RDM.