问卷调查
生物医药行业的日益全球化,使得企业需要在全球范围内进行大量个人数据跨境传输,其中包括:向临床试验场所地传输数据,或者从临床试验场所向出资人、生物医药研发外包机构(CROs)及其他第三方传输数据等,所涉及的数据可能包括诸如员工、参与研究的人员、患者或医疗保健联系人等在内的个人数据。因此,生物医药企业正面临欧盟数据传输合规的挑战...
去年7月欧洲法院(CJEU)对Schrems II案中的判决及后续立法变化,将极大地影响生物医药行业的数据传输活动。
数据传输
根据《通用数据保护条例》(GDPR)的规定,欧盟通常禁止将个人数据传输至欧洲经济区(EEA)以外、对数据保护程度不足的地区,同时,英国《通用数据保护条例》(UK GDPR)也规定,禁止向英国以外、对数据保护程度不足的的法域传输数据,除非该等数据传输满足一定的条件。这里的个人数据可能包括诸如员工、参与研究的人员、患者或医疗保健联系人等在内的个人数据。
生物医药行业企业为了合法传输上述数据,可采取以下保障措施,包括:
** 遵守充分性决定
** 适用欧盟委员会发布的标准合同条款(SCCs)
** 使用标准数据保护条款(经监管机构和欧盟委员会批准)
** 制定并遵守约束性的公司规章
** 通过相关认证机制
** 制定并遵守行为准则
** 遵守特殊情形下各类特定要求(如获得个人的同意、合同的必要性)
Schrems II案
2020年7月以前存在另一项数据传输充分性机制,即“隐私盾”,该机制对向位于美国的授权数据接收方(其中包括大量的生物医药公司)实现高速数据传输具有关键核心作用。然而,欧洲法院对Schrems II案的判决对该传输机制进行了致命打击。这一结果对生物医药组织影响巨大,尤其是对那些将总部设在美国或在美国有经营场所、并在欧洲进行临床试验的生物医药组织,因为这些组织必须另觅他法以确保合法地将数据从欧洲经济区/英国向美国传输。
Schrems II 案判决中一项重要内容是,欧洲法院不仅判定隐私盾无效,而且还大体评估了其他适当的数据传输保护机制的可行性。这不仅着眼于美国,也着眼于欧洲经济区以外任何对数据保护程度不足的法域。
欧洲法院最终决定,标准合同条款(SCCs)仍是对数据传输的有效保护机制。但是,使用这些标准合同条款的同时还须满足一些额外要求,方能保证该机制的有效性,这些要求包括:数据输出方需要对数据输入方所在法域的数据传输保护的充分性进行评估,包括在法律和实践两方面,并在必要时采取进一步的补充措施加以保障。如果补充措施仍不能解决传输风险的,则数据传输就不能进行。
新版标准合同条款(SCCs)
考虑到Schrems II案中的判决,标准合同条款(SCCs)已经成为生物医药行业企业针对欧盟和英国数据保护法合规及保护个人数据传输的重要工具,“旧”版标准合同条款早于《通用数据保护条例》(GDPR)而存在,因此其效力已“奄奄一息”。
2021年6月,欧盟委员会发布了模块化的新版标准合同条款,此版本涵盖了不同的传输情形(如在数据处理者之间的数据传输、在数据处理者与数据控制者之间的数据传输),新版本发布目的是为了更新标准合同条款,使其与《通用数据保护条例》的规定保持一致,同时,新版本中也解决了Schrems II 案判决中提出的一些问题(如对补充措施的规定)。 新版标准合同条款(SCCs)于2021年6月27日生效。2021年9月27日前,各组织机构仍可在新协议中继续纳入旧版标准合同条款,但自2022年12月27日起,须更新届时已有协议并全部使用新版标准合同条款。这意味着生物医药行业企业需要进行合同审核,找到旧版条款并着手启动必要程序以更新协议的条款。
英国数据保护监管机构信息专员办公室(ICO)还未批准新版标准合同条款(SCCs),因此,目前新版条款还不能适用于来源于英国的个人数据传输。
ICO表示,英国正致力于制定本国的新版标准合同条款(征求意见稿预计于今年夏季出台),但在该新版标准合同条款最终确定之前,生物医药行业企业需要向英国以外地区传输任何个人数据的,应继续使用旧版标准合同条款。
目前尚不清楚英国的新版标准合同条款与欧盟委员会的标准合同条款有多大一致性,这意味着英国在制定条款时可能需要进行一些微调。我们只能希望最终使用通用模板。
2021年7月,英国也收到了来自欧盟委员会的充分性决定,这意味着生物医药行业企业将数据从欧盟向英国传输时,不需要使用额外的数据传输机制。
生物医药行业企业下一步应如何应对数据传输合规的挑战?
需要在全球范围内进行大量数据传输的生物医药行业企业,为了保证其数据传输的合规性,正面临着巨大的工作量,而且这可能会对合同的履行时间产生潜在影响。
重要的是,要让包括销售、法律、市场营销、临床和合规团队在内的关键利益相关方全部参与进来,以明确所有的数据传输行为,并确保企业上下都接受认可和积极支持任何可能需要进行的精心管理的个人数据传输合规项目。
建议生物医药行业企业现在就开始采取以下步骤:
** 着手了解企业的数据传输情况
** 核实这些数据传输目前依赖的传输工具(如旧版合同标准条款(SCCs))
** 对合同标准条款进行分析评估,以识别哪个或哪些模块具有相关性(这就需要弄清数据输出方和数据输入方的角色是作为数据控制者还是数据处理者,等等)
** 对数据输入方所在国数据传输相关的现行有效法律和实践进行评估,这可能影响标准合同条款保障的有效性
** 如果评估显示,所涉及的数据传输相关的法律和实践确实可能影响标准合同条款的有效性,则须确定需要采取的补充措施并对此予以实施
** 对上述评估以及为提高标准合同条款保护效力而实施的补充措施,进行详细记录
如上所述,2021年9月27日起,凡是新的数据传输,均适用新版标准合同条款;现有的数据传输,则应更新合同以适用新版条款;2022年12月27日前,其他所有包含旧版标准合同条款的已有合同均须更新适用新版条款。
虽然18个月的过渡期看起来还很遥远,但对于生物医药行业企业来说,这一时间窗口很快就会过去,尤其是对于复杂的数据传输来说,可能有成百甚至上千份合同会受到影响。因此,我们强烈建议该等合同更新流程不要往后拖太久。
本文作者:泰乐信律师事务所,点击此处了解更多信息。
