(사)정보화사회실천연합

GDPR이 국제 건강 관련 데이터 공유에 영향을 미치는 10 가지 방법

0 476

2018년 5월 25일 유럽연합(EU) 전역에서 완전한 법적 효력을 발휘한 GDPR(General Data Protection Regulations)은 국민의 개인 데이터의 수집, 사용 및 국경 간 공유와 관련된 국제 보건 연구에 여러 가지 시사점을 가지고 있다. 이러한 연구에는 유전체 연구가 포함된다.

GDPR은 유럽 내외의 조직들이 개인 데이터를 수집, 사용 및 공유하는 방식을 바꾸려고 한다. GDPR은 디지털 기술의 급속한 발전으로 개인 데이터가 수집·이용·분석·유통되는 규모·범위·속도가 높아져 ‘데이터 피사체’의 권리를 강화하는 보다 강력한 법적 체계가 필요함을 인정하는 방식으로 작성된다.

GDPR은 (i) 데이터 제어기(data controller)의 처리 활동을 규제하는데, 이는 개인 데이터의 처리 목적과 수단을 결정하는 사람 또는 실체(예: 회사, 연구원, 대학, (ii) 데이터 프로세서를 의미하며, 데이터 제어기를 대신하여 개인 데이터를 처리하는 개인 또는 실체를 말한다. 클라우드 제공자와 연구 협력자(여러 가지 상황에서) GDPR은 건강 연구 환경에서 연구 참여자가 될 가능성이 가장 높은 데이터 피험자의 데이터 보호 권한을 방어한다.

이 입문서는 국제 보건 연구와 데이터 공유에 영향을 미치는 GDPR의 10가지 핵심 영역을 강조한다.

    1. 영토 범위. GDPR의 영역 범위는 확대되었다. 제3조에 따르면, 이 법은 EU의 통제관이나 프로세서의 시설과 EU의 개인의 행동을 감시하는 비EU 기성 조직에 적용되며, 그러한 기구가 EU의 개인에게 재화나 서비스를 제공하려고 하는 것이 명백한 경우에 적용된다.
    2. 투명성과 책임감. 투명성과 책임성을 입증하기 위한 요건이 증가했다. 책임성은 제5조의 GDPR에 따른 개인 데이터의 처리와 관련된 핵심 원칙 중 하나이며, 무엇보다도 데이터 통제관은 각 처리 작업에 대한 합법적인 근거를 가지고 있음을 증명할 수 있어야 한다. 마찬가지로, 투명성 강화 조항은 통제관이 자료주체에게 처리 전, 명확한 언어로 정보주체에게 통지하도록 요구하고 있다. a) 주체의 개인 데이터를 처리하려는 의도가 있고 b) 제6조에 따른 적법한 근거 중 어떤 것이 처리를 허용하는지를 식별한다. 특수범주 데이터의 경우 제9조 제2항에 따른 예외조항 중 해당 자료의 처리를 허용하는 예외조항을 식별해야 한다.
    3. “설계별 데이터 보호” 및 데이터 보호 영향 평가. 제25조에 따라 GDPR은 처리수단의 결정 시점과 처리자체에서의 데이터 제어기에 대해 데이터 최소화 등 데이터 보호 원칙을 효과적으로 구현하는 적절한 기술적, 조직적 조치를 이행하고 필요한 사항을 통합하도록 요구하고 있다. GDPR의 요건을 충족하고 데이터 피험자의 권리를 보호하기 위해 프로세싱에 대한 안전장치. 이를 “설계별 데이터 보호”라고 한다.
    4. 데이터 보호 영향 평가. 제35조에 따라, 특히 새로운 기술을 사용하는 유형의 프로세싱이 데이터 주체의 권리와 자유에 큰 위험을 초래할 가능성이 있는 경우(처리의 특성, 범위, 맥락 및 목적을 고려), 컨트롤러는 처리 전에 예상된 영향의 평가를 수행해야 한다. 개인 데이터 보호에 대한 처리 작업.
    5. 데이터 보호 책임자. 제37조에 따라 공공 기관 또는 핵심 활동이 특수 데이터 범주(예: 건강 관련 데이터 또는 유전자 데이터)의 “대규모”로 처리되는 컨트롤러와 프로세서에 대해서는 데이터 보호 책임자(DPO) 임명이 의무화된다. 영국의 정보위원실(ICO)이 지적했듯이 환자 데이터를 처리하는 병원에는 DPO가 필요하며, 많은 대학과 과학 연구 및 의료 기관에도 DPO가 필요할 것으로 보인다.
    6. 동의하다. 데이터 처리와 관련하여 데이터 피험자가 동의하는 내용을 쉽게 이해할 수 있도록 동의 조건이 강화되었다. 동의 조건은 또한 개인의 권리를 강화시킨다. 예를 들어, 어떤 상황에서는 다른 처리 목적에 대해 별도의 동의가 있어야 하며, 동의는 손상 없이 취소할 수 있는 경우에만 유효하다. 제7조에 따라 “동의요청은 다른 사항과 명확히 구분할 수 있는 방법으로 명확하고 평이한 언어를 사용하여 이해하기 쉽고 쉽게 접근할 수 있는 형태로 제시되어야 한다”고 하고, 제6조에 따라 자료의 처리(공유 포함)를 위한 “특정 목적”을 명확히 설명하여야 한다. GDPR의 리사이틀 33은 그럼에도 불구하고 광범위한 동의가 과학연구의 맥락에서 가능할 수 있음을 시사한다. 연구 맥락에서 중요한 것은, 동의는 개인 데이터를 처리하기 위한 몇 가지 합법적인 근거 중 하나에 불과하다.
    7. 데이터의 특수 범주 처리. 프로세서가 제9조에 열거된 특수한 카테고리 조건을 충족하지 않는 한 GDPR에 따라 건강 관련 데이터 및 유전자 데이터와 같은 특수(예: 민감한) 카테고리의 처리는 금지된다. 이러한 조건 중에는 의료 진단, 건강 또는 사회 관리 제공, 치료, EU나 회원국법 또는 전문적 의무에 따른 건강 또는 사회 관리 시스템 관리, EU o에 근거한 공공 보건 및 공익 목적의 처리와 같은 건강 상황에 특정한 조건이 있다.r 회원국의 법률. 과학적 연구를 위한 특별한 범주의 자료를 처리할 때, 그러한 처리가 제89조 제1항에 따른 과학적 연구에 필요하고 적절한 안전장치가 제공된다는 제9조 제2항(j)의 예외가 될 가능성이 가장 높다. 또한 처리는 EU 또는 회원국의 법률(예: 임상시험과 관련된 법률)과도 일치해야 한다. 이러한 안전장치는 특히 데이터 최소화의 원칙(개인 데이터 수집, 저장 및 사용을 데이터 처리 목적 수행에 적절하고 적절하며 절대적으로 필요한 데이터로 제한)을 준수하도록 기술 및 조직적 조치를 마련해야 한다.. 이것은 가능한 경우 익명화 또는 가명화(키코딩 포함)를 사용해야 한다는 것을 의미한다.
    8. 데이터 주체 권한의 손상. 제89조 제2항은 회원국들이 사이언티프의 “불가능하거나 중대한 달성을 저해할 가능성이 있는” 경우, 데이터 접근, 수정, 삭제, 처리 제한, 그리고 이의 제기에 대한 다른 핵심 데이터 주체권으로부터 (즉, 예외)를 발생시킬 수 있도록 허용한다.ic 연구 목적 이러한 모욕은 이러한 목적을 달성하기 위해 필수적이어야 한다. 이러한 왜곡은 데이터 최소화 및 가명화와 같은 제89조 제1항에 규정된 조건과 안전장치의 적용을 받는다. 또한, 제89조 제1항에 따라 과학적 연구목적으로 개인정보를 처리하는 경우, 해당 자료주체는 “업무 수행에 필요한 처리가 아닌 한 그 또는 그 특정상황과 관련된 사유에 따라 그 개인자료의 처리에 대해 “거부할 권리”를 가진다. 공익상의 이유로 난동을 부렸다.”
    9. 2차 사용. 리사이틀 50에 따르면, 개인 데이터가 처음 수집된 목적 이외의 목적의 개인 데이터 처리는 개인 데이터가 처음 수집된 목적과 호환되는 경우에만 허용되어야 한다. 단, 제5조 제1항(b)은 제89조 제1항에 따라 과학적 연구 목적을 위한 추가 처리가 최초 데이터 처리 목적과 양립할 수 없다고 규정하고 있다. 동일하거나 다른 조직이 데이터의 추가 처리(즉, 2차 사용)를 수행하고 있다면, 과학적 연구를 목적으로 한 추가 처리가 처리 본래의 명시된 목적과 양립할 수 있다는 반증 가능한 가정이 있다. 제89조 제2항에 따라 과학연구 예외가 허용하는 데이터 주체의 권리에 대한 왜곡은 해당 회원국의 법률에서 허용하는 시나리오에 적용될 것이다.
    10. 국제 데이터 전송. 국제과학연구협력은 EU에서 ‘제3국’으로 알려진 비EU 국가로 개인 데이터를 이전하는 GDPR 규정에 영향을 받는다. 클라우드 컴퓨팅 목적으로든, 그 밖의 목적으로든, 유럽의 개인 데이터를 제3국 또는 국제 기구에 전송하려는 데이터 제어기는 국제 데이터 전송에 대한 GDPR의 규정을 염두에 두어야 한다. EU 외부에서의 개인 데이터의 합법적인 전송을 위한 네 가지 기본적인 방법이 있다. 1) 적절성 결정, 2) 제46조에 기술된 적절한 보호, 또는 제47조에 기술된 기업 규칙을 구속하는 것, 3) 특정 모욕, 4) 일회성(또는 간헐적) 이전 예외가 있다. 통제관은 개인정보가 수집될 때, 통제관이 제3국 또는 국제기구에 이 개인 데이터를 이전할 의도, a) 적절성 결정이 존재하거나 존재하지 않거나, b) 제46조 또는 제47조에 언급된 이전 또는 일회성(또는 간헐적) 이전인 경우, 적절하거나 적절한 안전장치와 해당 안전장치의 사본을 입수할 수 있는 방법 또는 그러한 안전장치의 사용 가능 장소에 대한 참조.

해당 내용은 기계 번역을 통하여 생성한 자료입니다.


출처 : GA4GH (Global Alliance for Genomics and Health)의 “Ten Ways the GDPR Impacts International Health-Related Data Sharing” 2018.10

글을 남겨주세요.