Brusel 16. dubna – Evropský sbor pro ochranu osobních údajů přijal na svém posledním plenárním zasedání pokyny pro zpracování osobních údajů pro účely vědeckého výzkumu. Kromě toho správní rada vytvořila tým, který má urychlit finalizaci pokynů pro anonymizaci. EDPB rovněž přijal dvě stanoviska ke dvěma souborům certifikačních kritérií Europrivacy pro schválení jako evropské pečeti ochrany údajů, z nichž jedno má být použito jako nástroj pro předávání údajů.
Mnoho oblastí vědeckého výzkumu závisí na zpracování osobních údajů jednotlivců, což vedlo k významným vědeckým průlomům, z nichž má prospěch společnost. Vzestup nových technologií, jako je umělá inteligence, rovněž přispívá k vědeckému pokroku tím, že výzkumným pracovníkům umožňuje využívat a analyzovat data inovativním způsobem.
Hlavním cílem pokynů EDPB pro vědecký výzkum je poskytnout výzkumným pracovníkům větší jasnost a usnadnit dodržování obecného nařízení o ochraně osobních údajů a zároveň zajistit ochranu základních práv jednotlivců.
„Vědecký výzkum může být hnací silou společenského pokroku a zlepšit náš každodenní život.
Naše pokyny usnadňují inovativní výzkum tím, že pomáhají výzkumným pracovníkům orientovat se v GDPR.
EDPB je odhodlán podporovat vědeckou obec a uvolnit plný potenciál vědeckého výzkumu v EU při současném dodržování práv na ochranu údajů.“
předseda EDPB, Anu Talus
Sbor ve svých pokynech objasňuje pojem „vědecký výzkum“. Aby bylo možné určit, zda zpracování probíhá pro účely vědeckého výzkumu ve smyslu obecného nařízení o ochraně osobních údajů, poskytuje sbor šest klíčových orientačních faktorů, které by měly být kromě povahy, rozsahu, kontextu a účelů zpracování zohledněny. Jedná se o: 1) metodický a systematický přístup, 2) dodržování etických norem, 3) ověřitelnost a transparentnost, 4) autonomie a nezávislost, 5) cíle výzkumu a 6) potenciál přispět ke stávajícím vědeckým poznatkům nebo uplatnit stávající poznatky novými způsoby. Pokud výzkumné činnosti splňují těchto šest faktorů, lze předpokládat, že představují vědecký výzkum. V opačném případě by měl správce odůvodnit a prokázat, proč by činnosti měly být považovány za vědecký výzkum ve smyslu obecného nařízení o ochraně osobních údajů.
Předpokládá se, že další zpracování pro účely vědeckého výzkumu je slučitelné s původním účelem shromažďování osobních údajů fyzických osob. Správci proto nejsou povinni provádět test slučitelnosti účelu podle obecného nařízení o ochraně osobních údajů, aby zjistili, zda je nové zpracování slučitelné s původním účelem shromažďování. Správci však musí zajistit, aby byl právní základ počátečního zpracování vhodný i pro další zpracování osobních údajů pro účely vědeckého výzkumu.
Správci se mohou spolehnout na „široký souhlas“, pokud v době shromažďování osobních údajů nejsou plně známy účely výzkumu. V tomto případě by výzkumní pracovníci měli dodržovat etické normy pro vědecký výzkum a zavést další záruky, které by kompenzovaly chybějící specifikace účelu. Správci mohou rovněž požádat jednotlivce o samostatný souhlas s různými individuálními výzkumnými projekty, jakmile jsou známy účely těchto projektů (dynamický souhlas). Kombinace širokého a dynamického souhlasu je také možná.
Kromě toho EDPB objasňuje práva jednotlivců, pokud jsou jejich osobní údaje zpracovávány pro vědecké účely. To zahrnuje práva na výmaz a námitky, na něž se mohou vztahovat omezení, pokud jsou osobní údaje zpracovávány pro účely vědeckého výzkumu. Sbor uvádí příklady, které vysvětlují, kdy lze mít za to, že právo na výmaz pravděpodobně znemožní nebo vážně naruší cíl provádění vědeckého výzkumu. EDPB rovněž vysvětluje, kdy mohou správci zamítnout námitku fyzických osob proti zpracování jejich osobních údajů pro účely vědeckého výzkumu. Tak tomu může být v případě, kdy je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.
Sbor připomíná, že pokud je do zpracování osobních údajů pro účely vědeckého výzkumu zapojeno několik subjektů, je nezbytné posoudit a zdokumentovat, jak jsou povinnosti mezi subjekty rozděleny. V tomto ohledu poskytují pokyny užitečné příklady, které objasňují, v jakých situacích mohou být subjekty považovány za správce, společné správce nebo zpracovatele.
Sbor rovněž vysvětluje, jak mohou správci při zpracování osobních údajů pro účely vědeckého výzkumu posoudit vhodná technická a organizační opatření, jako je anonymizace nebo pseudonymizace. EDPB uvádí příklady dalších záruk, které by mohly být zavedeny v závislosti na rizicích představovaných prováděnými výzkumnými činnostmi. Patří mezi ně nezávislý nebo etický dohled, bezpečné zpracovatelské prostředí, technologie zvyšující ochranu soukromí, ochranná opatření pro zveřejňování výsledků výzkumu, ujednání o důvěrnosti a podmínky pro další použití.
Pokyny budou do 25. června předmětem veřejné konzultace, která zúčastněným stranám poskytne příležitost vyjádřit se a poskytnout zpětnou vazbu.
„Tým pro sprint“ za účelem dokončení práce na anonymizaci
Aby se urychlilo dokončení připravovaných pokynů k anonymizaci, vytvořila rada specializovaný „sprintový tým“, který práci dokončí do léta.
Stanoviska týkající se ochrany soukromí v Evropě
EDPB přijal stanovisko, kterým se schvaluje aktualizovaný soubor kritérií pro certifikaci ochrany soukromí v rámci programu Europrivacy jako evropská pečeť ochrany údajů *podle čl. 42 odst. 5 obecného nařízení o ochraně osobních údajů. Sbor poprvé schválil certifikační kritéria Europrivacy dne 10. října 2022 jako první evropskou pečeť ochrany údajů prostřednictvím stanoviska EDPB 28/2022. Oblast působnosti systému certifikace Europrivacy byla rozšířena tak, aby zahrnovala správce a zpracovatele usazené mimo Evropu, na které se vztahuje čl. 3 odst. 2 obecného nařízení o ochraně osobních údajů, a to buď proto, že poskytují zboží nebo služby jednotlivcům v Evropě, nebo proto, že sledují jejich chování.
Kromě toho sbor poprvé přijal stanovisko, v němž uznal kritéria certifikace Europrivacy jako evropskou pečeť ochrany údajů, která má být použita jako nástroj pro předávání údajů v souladu s články 42 a 46 obecného nařízení o ochraně osobních údajů. Dovozci údajů mimo Evropu, na které se nevztahuje obecné nařízení o ochraně osobních údajů, mohou nyní požádat o systém certifikace Europrivacy pro předávání údajů, které obdrží. Toto osvědčení usnadní splnění povinnosti správců a zpracovatelů v Evropě prokázat, že poskytují vhodné záruky pro předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
Tato schválení dále osvětlují mechanismy certifikace podle obecného nařízení o ochraně osobních údajů a potvrzují jejich klíčovou úlohu jako nástroje pro dodržování obecného nařízení o ochraně osobních údajů.
Poznámka pro editory
*Evropská pečeť ochrany údajů je certifikační mechanismus GDPR uznávaný po celé Evropě. Pečeť musí splňovat zvláštní kritéria schválená EDPB a musí být udělena certifikačním orgánem akreditovaným podle článku 43 obecného nařízení o ochraně osobních údajů k prokázání souladu s normami obecného nařízení o ochraně osobních údajů.
Zde zveřejněná tisková zpráva byla automaticky přeložena z angličtiny. EDPB nezaručuje přesnost překladu. Pokud existují nějaké pochybnosti, přečtěte si prosím oficiální text v jeho anglickém znění.