Dane wrażliwe/dane osobowe- interpretacja w planie zarządzania danymi

Dane wrażliwe/dane osobowe- interpretacja w planie zarządzania danymi

Przykład:

Naukowiec składa projekt, gdzie w eksperymencie będą brały udział osoby w wieku 18 -40 lat.

Etap 1  – badania wstępne:

- podstawowe analizy (mocz, kał, ciśnienie itp.);

- badanie lekarskie zakwalifikuje, czy pacjent jest zdrowy/czy nie (zdrowy kwalifikuje się do dalszego eksperymentu)

Etap 2 – dieta 2 tyg.

Etap 3 – badanie

Następne: analiza wyników, dane zaszyfrowane, publikacja

Naukowiec twierdzi, ze nie ma do czynienia z danymi wrażliwymi, bo artykuł nie będzie zawierał żadnych danych, tylko opierał się na próbie N.

Moim zdaniem, żeby dotrzeć do próbki N, należy pracować na danych wrażliwych, które trzeba pozyskać, obrobić i zaszyfrować.

Uważam również, że powinien mieć zgody uczestników na utrwalanie i udostępnianie ich danych osobowych – czy może w tym przypadku to niekonieczne, jeżeli publikacja nie będzie odnosiła się do konkretnych danych osobowych?

Czy ktoś ma może podobne doświadczenie i może podzielić się swoją wiedzą w tym temacie?

Ponadto projekt jest w połączeniu z innymi uczelniami, ale własność nad pozyskiwaniem i obrabianiem danych będzie po naszej stronie. Czy wystarczy opisać to w pkt. 4.2, czy należy jeszcze w innych punktach planu to ująć/opisać?

Odpowiedzi:

  • To są dane wrażliwe (dane medyczne) i dane osobowe. One będą przez naukowca zbierane, przechowywane i przetwarzane, a wobec tego podlegają specjalnej ochronie, bez względu na to, co w późniejszym czasie chciałby opublikować zespół. Potrzebna jest świadoma zgoda na badanie (wraz z informacją o przetwarzaniu danych osobowych, RODO itd.), oraz najpewniej dodatkowa broszura z informacjami o badaniu. Komisja Bioetyczna na pewno opisze to w swojej odpowiedzi (trzeba złożyć wniosek do Komisji o zgodę na takie badania, np. już po otrzymaniu grantu). Potrzebna jest też dodatkowa zgoda osób badanych na udostępnienie danych (jeśli byłyby publikowane), ale nie na publikację wyników badań, jeśli dane będą agregowane/uśredniane/dzielone np. na grupy pacjentów i nie będą opublikowane dane pojedynczych osób.
  • Trzeba to opisać w punkcie 4.2. Gdy już powstanie publikacja i dane będą tylko zaszyfrowane (rozumiem, że pseudominizowane i za pomocą określonego klucza można je odszyfrować), a nie zanonimizowane, to naukowiec musi mieć świadome zgody użytkowników na udostępnienie. Jeżeli będą zanonimizowane, to zgoda na udostępnienie danych nie jest potrzebna.

Obecny ruch w nauce jest taki, że mimo zanonimizowania danych, powinno się mieć zgody osób badanych na udostępnienie danych. Przynajmniej w biologii/neurobiologii/medycynie jest taki trend. W przypadku badań medycznych w szczególności (zestawy danych medycznych dość dobrze określają dane jednostki), ale nie tylko, nawet zanonimizowane dane (w dobie AI, wycieków danych, danych dostępnych publicznie w mediach społecznościowych itd.), mogą zostać dla jakiegoś proc. uczestników de-anonimizowane. Jest wiele artykułów, które to pokazują. Nawet same dane demograficzne mogą pomóc w zidentyfikowaniu osoby (podaję link do jednego z badań: "Using our model, we find that 99.98% of Americans would be correctly re-identified in any dataset using 15 demographic attributes.". Oczywiście ryzyko jest niewielkie, ale warto myśleć o przyszłości i rozwoju technologii (i coraz większej liczbie danych z wycieków, które krążą po darknecie). Możemy uznać, że niezebranie zgód w przypadku pełnej anonimizacji nie jest obecnie naruszeniem RODO, bo oczywiście wymaga to znacznego nakładu pracy i dostępu do danych dodatkowych, ale pod względem etyki badań naukowych i danych prognostycznych trend jest w kierunku pełnej transparentności (informowanie uczestników badań o zamierzanym udostępnieniu danych i zgoda)

2 Responses

Dodaj komentarz