Bruxelles, den 16. april – Databeskyttelsesrådet har på sit seneste plenarmøde vedtaget retningslinjer for behandling af personoplysninger til videnskabelige forskningsformål. Bestyrelsen har desuden nedsat et team, der skal fremskynde færdiggørelsen af retningslinjerne for anonymisering. Databeskyttelsesrådet har også vedtaget to udtalelser om de to sæt Europrivacy-certificeringskriterier til godkendelse som europæiske databeskyttelsesmærker, hvoraf den ene skal anvendes som et redskab til overførsler.
Mange videnskabelige forskningsområder er afhængige af behandling af enkeltpersoners personoplysninger, og dette har ført til betydelige videnskabelige gennembrud, der er til gavn for samfundet. Fremkomsten af nye teknologier såsom kunstig intelligens bidrager også til videnskabelige fremskridt ved at gøre det muligt for forskere at anvende og analysere data på innovative måder.
Hovedformålet med Databeskyttelsesrådets retningslinjer for videnskabelig forskning er at skabe større klarhed for forskere og gøre det lettere at overholde GDPR, samtidig med at beskyttelsen af enkeltpersoners grundlæggende rettigheder sikres.
"Videnskabelig forskning kan være drivkraften bag samfundsmæssige fremskridt og forbedre vores dagligdag.
Vores retningslinjer fremmer innovativ forskning ved at hjælpe forskere med at navigere i GDPR.
Databeskyttelsesrådet er fast besluttet på at støtte det videnskabelige samfund og frigøre det fulde potentiale af videnskabelig forskning i EU, samtidig med at databeskyttelsesrettighederne opretholdes."
Formanden for Databeskyttelsesrådet, Anu Talus
Databeskyttelsesrådet præciserer i sine retningslinjer begrebet "videnskabelig forskning". For at afgøre, om behandlingen finder sted til videnskabelige forskningsformål som omhandlet i GDPR, fremlægger Databeskyttelsesrådet seks centrale vejledende faktorer, der ud over behandlingens art, omfang, sammenhæng og formål bør tages i betragtning. Det drejer sig om: 1) metodisk og systematisk tilgang, 2) overholdelse af etiske standarder, 3) verificerbarhed og gennemsigtighed, 4) autonomi og uafhængighed, 5) forskningens mål og 6) potentiale til at bidrage til eksisterende videnskabelig viden eller anvende eksisterende viden på nye måder. Hvis forskningsaktiviteterne opfylder disse seks faktorer, kan de antages at udgøre videnskabelig forskning. Ellers bør den dataansvarlige begrunde og kunne påvise, hvorfor aktiviteterne bør betragtes som videnskabelig forskning som omhandlet i GDPR.
Yderligere behandling til videnskabelige forskningsformål formodes at være forenelig med det oprindelige formål med indsamlingen af fysiske personers personoplysninger. Derfor er dataansvarlige ikke forpligtet til at foretage testen af formålskompatibilitet i henhold til GDPR for at afgøre, om den nye behandling er forenelig med det oprindelige formål med indsamlingen. De dataansvarlige skal dog stadig sikre, at retsgrundlaget for den oprindelige behandling også er egnet til viderebehandling af personoplysninger til videnskabelige forskningsformål.
Dataansvarlige kan henholde sig til "bredt samtykke", hvis formålet med forskningen ikke er fuldt kendt på tidspunktet for indsamlingen af personoplysningerne. I dette tilfælde bør forskerne overholde etiske standarder for videnskabelig forskning og indføre yderligere sikkerhedsforanstaltninger for at kompensere for manglen på formålsspecifikationer. Dataansvarlige kan også bede enkeltpersoner om at give deres samtykke til forskellige individuelle forskningsprojekter separat, så snart formålet med disse projekter bliver kendt (dynamisk samtykke). En kombination af både bredt og dynamisk samtykke er også mulig.
Databeskyttelsesrådet præciserer desuden fysiske personers rettigheder, når deres personoplysninger behandles til videnskabelige formål. Dette omfatter retten til sletning og indsigelse, for hvilke der kan gælde begrænsninger, når personoplysninger behandles til videnskabelige forskningsformål. Databeskyttelsesrådet giver eksempler til at forklare, hvornår retten til sletning kan anses for sandsynligvis at gøre det umuligt eller alvorligt forringe målet om at udføre videnskabelig forskning. Databeskyttelsesrådet forklarer også, hvornår dataansvarlige kan afvise en persons indsigelse mod behandling af deres personoplysninger til videnskabelige forskningsformål. Dette kan være tilfældet, når behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse.
Databeskyttelsesrådet minder om, at når flere enheder er involveret i behandlingen af personoplysninger til videnskabelige forskningsformål, er det nødvendigt at vurdere og dokumentere, hvordan ansvaret fordeles mellem enhederne. I den forbindelse indeholder retningslinjerne nyttige eksempler til at præcisere, i hvilke situationer enheder kan betragtes som dataansvarlige, fælles dataansvarlige eller databehandlere.
Endelig forklarer Databeskyttelsesrådet, hvordan dataansvarlige kan vurdere passende tekniske og organisatoriske foranstaltninger såsom anonymisering eller pseudonymisering i forbindelse med behandling af personoplysninger til videnskabelige forskningsformål. Databeskyttelsesrådet giver eksempler på andre garantier, der kan gennemføres afhængigt af de risici, der er forbundet med de udførte forskningsaktiviteter. Disse omfatter uafhængigt eller etisk tilsyn, sikre behandlingsmiljøer, privatlivsfremmende teknologier, beskyttelsesforanstaltninger til offentliggørelse af forskningsresultater, fortrolighedsordninger og betingelser for videre anvendelse.
Retningslinjerne vil være genstand for en offentlig høring indtil den 25. juni, hvor interessenterne får mulighed for at fremsætte bemærkninger og give feedback.
Et "sprintteam" til at afslutte arbejdet med anonymisering
For at fremskynde færdiggørelsen af de kommende retningslinjer for anonymisering oprettede bestyrelsen et særligt "sprintteam", der vil afslutte arbejdet inden sommeren.
Udtalelser om beskyttelse af privatlivets fred
Databeskyttelsesrådet vedtog en udtalelse om godkendelse af det ajourførte sæt Europrivacy-certificeringskriterier som europæisk databeskyttelsesmærke* i henhold til artikel 42, stk. 5, i GDPR. Databeskyttelsesrådet godkendte første gang Europrivacy-certificeringskriterierne den 10. oktober 2022 som det første europæiske databeskyttelsesmærke gennem Databeskyttelsesrådets udtalelse 28/2022. Anvendelsesområdet for Europrivacy-certificeringsordningen er blevet udvidet til at omfatte dataansvarlige og databehandlere, der er etableret uden for Europa, og som er omfattet af artikel 3, stk. 2, i GDPR, enten fordi de leverer varer eller tjenesteydelser til enkeltpersoner i Europa, eller fordi de overvåger deres adfærd.
Desuden vedtog Databeskyttelsesrådet for første gang en udtalelse om anerkendelse af Europrivacy-certificeringskriterierne som et europæisk databeskyttelsesmærke, der skal anvendes som et redskab til overførsler i overensstemmelse med artikel 42 og 46 i GDPR. Dataimportører uden for Europa, som ikke er omfattet af GDPR, kan nu ansøge om Europrivacy-certificeringsordningen for overførsel af data, de modtager. Denne certificering vil lette opfyldelsen af de dataansvarliges og databehandlernes forpligtelse i Europa til at påvise, at de giver de fornødne garantier for overførsel af personoplysninger til tredjelande eller internationale organisationer.
Disse godkendelser kaster yderligere lys over GDPR-certificeringsmekanismerne og bekræfter deres centrale rolle som GDPR-overholdelsesværktøj.
Note til redaktørerne
* Det europæiske databeskyttelsesmærke er en GDPR-certificeringsmekanisme, der er anerkendt i hele Europa. Forseglingen skal opfylde specifikke kriterier, der er godkendt af Databeskyttelsesrådet, og skal tildeles af et certificeringsorgan, der er akkrediteret i henhold til artikel 43 i GDPR, for at dokumentere overholdelse af GDPR-standarderne.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.