Βρυξέλλες, 16 Απριλίου – Κατά την τελευταία σύνοδο ολομέλειάς του, το ΕΣΠΔ εξέδωσε κατευθυντήριες γραμμές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας. Επιπλέον, το Διοικητικό Συμβούλιο δημιούργησε μια ομάδα για να επιταχύνει την οριστικοποίηση των κατευθυντήριων γραμμών για την ανωνυμοποίηση. Το ΕΣΠΔ έχει επίσης εκδώσει δύο γνώμες σχετικά με τις δύο δέσμες κριτηρίων πιστοποίησης Europrivacy για έγκριση ως ευρωπαϊκές σφραγίδες προστασίας δεδομένων, μία από τις οποίες θα χρησιμοποιηθεί ως εργαλείο για διαβιβάσεις.
Πολλοί τομείς επιστημονικής έρευνας βασίζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων, γεγονός που έχει οδηγήσει σε σημαντικές επιστημονικές ανακαλύψεις που ωφελούν την κοινωνία. Η άνοδος των νέων τεχνολογιών, όπως η τεχνητή νοημοσύνη, συμβάλλει επίσης στην επιστημονική πρόοδο, παρέχοντας στους ερευνητές τη δυνατότητα να χρησιμοποιούν και να αναλύουν δεδομένα με καινοτόμους τρόπους.
Κύριος στόχος των κατευθυντήριων γραμμών του ΕΣΠΔ για την επιστημονική έρευνα είναι η παροχή μεγαλύτερης σαφήνειας στους ερευνητές και η διευκόλυνση της συμμόρφωσης με τον ΓΚΠΔ, με παράλληλη διασφάλιση της προστασίας των θεμελιωδών δικαιωμάτων των ατόμων.
«Η επιστημονική έρευνα μπορεί να προωθήσει την κοινωνική πρόοδο και να βελτιώσει την καθημερινή μας ζωή.
Οι κατευθυντήριες γραμμές μας διευκολύνουν την καινοτόμο έρευνα, βοηθώντας τους ερευνητές να περιηγηθούν στο GDPR.
Το ΕΣΠΔ δεσμεύεται να στηρίξει την επιστημονική κοινότητα και να απελευθερώσει το πλήρες δυναμικό της επιστημονικής έρευνας στην ΕΕ, προασπίζοντας παράλληλα τα δικαιώματα προστασίας των δεδομένων.»
Πρόεδρος του ΕΣΠΔ, Anu Talus
Στις κατευθυντήριες γραμμές της, η επιτροπή παρέχει διευκρινίσεις σχετικά με την έννοια της «επιστημονικής έρευνας». Για να καθοριστεί αν η επεξεργασία πραγματοποιείται για σκοπούς επιστημονικής έρευνας κατά την έννοια του ΓΚΠΔ, το ΕΣΠΔ παρέχει έξι βασικούς ενδεικτικούς παράγοντες που θα πρέπει να λαμβάνονται υπόψη, πέραν της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας. Πρόκειται για τα εξής: 1) μεθοδική και συστηματική προσέγγιση, 2) τήρηση δεοντολογικών προτύπων, 3) επαληθευσιμότητα και διαφάνεια, 4) αυτονομία και ανεξαρτησία, 5) στόχοι της έρευνας και 6) δυνατότητα συμβολής στην υφιστάμενη επιστημονική γνώση ή εφαρμογής της υφιστάμενης γνώσης με καινοτόμους τρόπους. Εάν οι ερευνητικές δραστηριότητες πληρούν αυτούς τους έξι παράγοντες, μπορεί να θεωρηθεί ότι συνιστούν επιστημονική έρευνα. Διαφορετικά, ο υπεύθυνος επεξεργασίας θα πρέπει να αιτιολογεί και να είναι σε θέση να αποδείξει τους λόγους για τους οποίους οι δραστηριότητες θα πρέπει να θεωρούνται επιστημονική έρευνα, κατά την έννοια του ΓΚΠΔ.
Η περαιτέρω επεξεργασία για σκοπούς επιστημονικής έρευνας τεκμαίρεται ότι είναι συμβατή με τον αρχικό σκοπό της συλλογής δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας δεν υποχρεούνται να διενεργούν τον έλεγχο συμβατότητας σκοπού βάσει του ΓΚΠΔ για να διαπιστώσουν αν η νέα επεξεργασία είναι συμβατή με τον αρχικό σκοπό της συλλογής. Ωστόσο, οι υπεύθυνοι επεξεργασίας πρέπει να διασφαλίζουν ότι η νομική βάση της αρχικής επεξεργασίας είναι επίσης κατάλληλη για την περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας.
Οι υπεύθυνοι επεξεργασίας μπορούν να βασίζονται σε «ευρεία συγκατάθεση» όταν οι σκοποί της έρευνας δεν είναι πλήρως γνωστοί κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Στην περίπτωση αυτή, οι ερευνητές θα πρέπει να τηρούν τα δεοντολογικά πρότυπα για την επιστημονική έρευνα και να θεσπίζουν πρόσθετες διασφαλίσεις για την αντιστάθμιση της έλλειψης προδιαγραφών σκοπού. Οι υπεύθυνοι επεξεργασίας μπορούν επίσης να ζητήσουν από τα άτομα να συναινέσουν σε διαφορετικά μεμονωμένα ερευνητικά έργα χωριστά, μόλις γίνουν γνωστοί οι σκοποί των εν λόγω έργων (δυναμική συγκατάθεση). Είναι επίσης δυνατός ο συνδυασμός τόσο ευρείας όσο και δυναμικής συγκατάθεσης.
Επιπλέον, το ΕΣΠΔ αποσαφηνίζει τα δικαιώματα των φυσικών προσώπων όταν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν υποβάλλονται σε επεξεργασία για επιστημονικούς σκοπούς. Αυτό περιλαμβάνει τα δικαιώματα διαγραφής και εναντίωσης για τα οποία ενδέχεται να ισχύουν περιορισμοί όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς επιστημονικής έρευνας. Το ΕΣΠΔ παρέχει παραδείγματα για να εξηγήσει πότε το δικαίωμα διαγραφής μπορεί να θεωρηθεί πιθανό να καταστήσει αδύνατη ή να βλάψει σοβαρά τον στόχο της διεξαγωγής επιστημονικής έρευνας. Το ΕΣΠΔ εξηγεί επίσης πότε οι υπεύθυνοι επεξεργασίας μπορούν να απορρίψουν την αντίρρηση ενός φυσικού προσώπου στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για σκοπούς επιστημονικής έρευνας. Αυτό μπορεί να συμβαίνει όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται για λόγους δημόσιου συμφέροντος.
Το ΕΣΠΔ υπενθυμίζει ότι, όταν διάφορες οντότητες συμμετέχουν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας, είναι αναγκαίο να αξιολογείται και να τεκμηριώνεται ο τρόπος κατανομής των αρμοδιοτήτων μεταξύ των οντοτήτων. Στο πλαίσιο αυτό, οι κατευθυντήριες γραμμές παρέχουν χρήσιμα παραδείγματα για να διευκρινιστεί σε ποιες περιπτώσεις οι οντότητες μπορούν να χαρακτηριστούν υπεύθυνοι επεξεργασίας, από κοινού υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία.
Τέλος, το ΕΣΠΔ εξηγεί τον τρόπο με τον οποίο οι υπεύθυνοι επεξεργασίας μπορούν να αξιολογούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ανωνυμοποίηση ή η ψευδωνυμοποίηση, κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής έρευνας. Το ΕΣΠΔ παρέχει παραδείγματα άλλων διασφαλίσεων που θα μπορούσαν να εφαρμοστούν ανάλογα με τους κινδύνους που ενέχουν οι ερευνητικές δραστηριότητες που διεξάγονται. Αυτές περιλαμβάνουν ανεξάρτητη ή δεοντολογική εποπτεία, ασφαλή περιβάλλοντα επεξεργασίας, τεχνολογίες ενίσχυσης της ιδιωτικής ζωής, προστατευτικά μέτρα για τη δημοσίευση των αποτελεσμάτων της έρευνας, ρυθμίσεις εμπιστευτικότητας και προϋποθέσεις για περαιτέρω χρήση.
Οι κατευθυντήριες γραμμές θα αποτελέσουν αντικείμενο δημόσιας διαβούλευσης έως τις 25 Ιουνίου, παρέχοντας στα ενδιαφερόμενα μέρη την ευκαιρία να υποβάλουν παρατηρήσεις και παρατηρήσεις.
Μια «ομάδα σπριντ» για την ολοκλήρωση των εργασιών σχετικά με την ανωνυμοποίηση
Για να επιταχυνθεί η οριστικοποίηση των επικείμενων κατευθυντήριων γραμμών για την ανωνυμοποίηση, το διοικητικό συμβούλιο δημιούργησε μια ειδική «ομάδα σπριντ» που θα ολοκληρώσει τις εργασίες έως το καλοκαίρι.
Γνωμοδοτήσεις Europrivacy
Το ΕΣΠΔ εξέδωσε γνώμη για την έγκριση της επικαιροποιημένης δέσμης κριτηρίων πιστοποίησης Europrivacy ως ευρωπαϊκής σφραγίδας προστασίας δεδομένων* σύμφωνα με το άρθρο 42 παράγραφος 5 του ΓΚΠΔ. Το ΕΣΠΔ είχε εγκρίνει για πρώτη φορά τα κριτήρια πιστοποίησης Europrivacy στις 10 Οκτωβρίου 2022 ως την πρώτη ευρωπαϊκή σφραγίδα προστασίας δεδομένων μέσω της γνώμης 28/2022 του ΕΣΠΔ. Το πεδίο εφαρμογής του συστήματος πιστοποίησης Europrivacy έχει επεκταθεί ώστε να περιλαμβάνει υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία εγκατεστημένους εκτός Ευρώπης που υπόκεινται στο άρθρο 3 παράγραφος 2 του ΓΚΠΔ, είτε επειδή παρέχουν αγαθά ή υπηρεσίες σε άτομα στην Ευρώπη είτε επειδή παρακολουθούν τη συμπεριφορά τους.
Επιπλέον, για πρώτη φορά, το Συμβούλιο Προστασίας Δεδομένων εξέδωσε γνώμη με την οποία αναγνωρίζει τα κριτήρια πιστοποίησης Europrivacy ως ευρωπαϊκή σφραγίδα προστασίας δεδομένων που πρέπει να χρησιμοποιείται ως εργαλείο για διαβιβάσεις σύμφωνα με τα άρθρα 42 και 46 του ΓΚΠΔ. Οι εισαγωγείς δεδομένων εκτός Ευρώπης που δεν υπόκεινται στον ΓΚΠΔ μπορούν πλέον να υποβάλουν αίτηση στο σύστημα πιστοποίησης Europrivacy για τις διαβιβάσεις δεδομένων που λαμβάνουν. Η πιστοποίηση αυτή θα διευκολύνει την εκπλήρωση της υποχρέωσης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία στην Ευρώπη να αποδεικνύουν ότι παρέχουν κατάλληλες εγγυήσεις για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς.
Οι εγκρίσεις αυτές αποσαφηνίζουν περαιτέρω τους μηχανισμούς πιστοποίησης του ΓΚΠΔ, επιβεβαιώνοντας τον καίριο ρόλο τους ως εργαλείο συμμόρφωσης με τον ΓΚΠΔ.
Σημείωμα προς τους συντάκτες
*Η Ευρωπαϊκή Σφραγίδα Προστασίας Δεδομένων είναι ένας μηχανισμός πιστοποίησης GDPR αναγνωρισμένος σε όλη την Ευρώπη. Η σφραγίδα πρέπει να πληροί συγκεκριμένα κριτήρια εγκεκριμένα από το ΕΣΠΔ και πρέπει να χορηγείται από φορέα πιστοποίησης διαπιστευμένο βάσει του άρθρου 43 του ΓΚΠΔ για την απόδειξη της συμμόρφωσης με τα πρότυπα του ΓΚΠΔ.
Το δελτίο τύπου που δημοσιεύεται εδώ έχει μεταφραστεί αυτόματα από τα αγγλικά. Το ΕΣΠΔ δεν εγγυάται την ακρίβεια της μετάφρασης. Παρακαλείσθε να ανατρέξετε στο επίσημο κείμενο στην αγγλική έκδοσή του, εάν υπάρχουν αμφιβολίες.