Brüssel, 16. aprill – Euroopa Andmekaitsenõukogu võttis oma viimasel täiskogu istungil vastu suunised isikuandmete töötlemise kohta teadusuuringute eesmärgil. Lisaks on andmekaitsenõukogu loonud meeskonna, et kiirendada anonüümimise suuniste viimistlemist. Euroopa Andmekaitsenõukogu on vastu võtnud ka kaks arvamust kahe Europrivacy sertifitseerimiskriteeriumide kogumi kohta, mis kiidetakse heaks Euroopa andmekaitsepitseritena, millest ühte kasutatakse andmeedastusvahendina.
Paljud teadusuuringute valdkonnad sõltuvad üksikisikute isikuandmete töötlemisest ja see on viinud märkimisväärsete teaduslike läbimurreteni, mis toovad kasu ühiskonnale. Uute tehnoloogiate, näiteks tehisintellekti esilekerkimine aitab kaasa ka teaduse arengule, võimaldades teadlastel kasutada ja analüüsida andmeid uuenduslikul viisil.
Euroopa Andmekaitsenõukogu teadusuuringute suuniste peamine eesmärk on tagada teadlastele suurem selgus ja lihtsustada isikuandmete kaitse üldmääruse järgimist, tagades samal ajal üksikisikute põhiõiguste kaitse.
„Teadusuuringud võivad edendada ühiskonna arengut ja parandada meie igapäevaelu.
Meie suunised hõlbustavad uuenduslikke teadusuuringuid, aidates teadlastel GDPR-is orienteeruda.
Euroopa Andmekaitsenõukogu on pühendunud teadusringkondade toetamisele ja teadusuuringute täieliku potentsiaali ärakasutamisele ELis, kaitstes samal ajal andmekaitseõigusi.“
Euroopa Andmekaitsenõukogu eesistuja Anu Talus
Oma suunistes selgitab teadusnõukogu mõistet „teadusuuringud“. Selleks et teha kindlaks, kas töötlemine toimub teadusuuringute eesmärgil isikuandmete kaitse üldmääruse tähenduses, esitab andmekaitsenõukogu kuus peamist suunavat tegurit, mida tuleks lisaks töötlemise laadile, ulatusele, kontekstile ja eesmärkidele arvesse võtta. Need on järgmised: 1) metoodiline ja süstemaatiline lähenemisviis, 2) eetilise standardi järgimine, 3) tõendatavus ja läbipaistvus, 4) sõltumatus ja sõltumatus, 5) teadusuuringute eesmärgid ja 6) võimalus panustada olemasolevatesse teaduslikesse teadmistesse või rakendada olemasolevaid teadmisi uudsel viisil. Kui teadusuuringud vastavad nendele kuuele tegurile, võib eeldada, et need kujutavad endast teadusuuringuid. Vastasel juhul peaks vastutav töötleja põhjendama ja suutma tõendada, miks tuleks tegevust käsitada teadusuuringutena isikuandmete kaitse üldmääruse tähenduses.
Eeldatakse, et edasine töötlemine teadusuuringute eesmärgil on kooskõlas üksikisikute isikuandmete kogumise algse eesmärgiga. Seetõttu ei ole vastutavad töötlejad kohustatud tegema isikuandmete kaitse üldmääruse kohast eesmärgipärasuse testi, et teha kindlaks, kas uus töötlemine on kooskõlas andmete kogumise algse eesmärgiga. Vastutavad töötlejad peavad siiski tagama, et esmase töötlemise õiguslik alus sobib ka isikuandmete edasiseks töötlemiseks teadusuuringute eesmärgil.
Vastutavad töötlejad võivad tugineda „üldisele nõusolekule“, kui teadusuuringute eesmärk ei ole isikuandmete kogumise ajal täielikult teada. Sellisel juhul peaksid teadlased järgima teadusuuringute eetikastandardeid ja kehtestama täiendavad kaitsemeetmed, et kompenseerida eesmärgi kirjelduse puudumist. Vastutavad töötlejad võivad samuti paluda üksikisikute nõusolekut erinevatele üksikutele teadusprojektidele eraldi niipea, kui nende projektide eesmärgid saavad teatavaks (dünaamiline nõusolek). Võimalik on ka laiaulatusliku ja dünaamilise nõusoleku kombinatsioon.
Lisaks selgitab Euroopa Andmekaitsenõukogu üksikisikute õigusi, kui nende isikuandmeid töödeldakse teaduslikel eesmärkidel. See hõlmab õigust andmete kustutamisele ja vastuväiteid, mille suhtes võidakse kohaldada piiranguid, kui isikuandmeid töödeldakse teadusuuringute eesmärgil. Andmekaitsenõukogu toob näiteid selle kohta, millal võib õigus andmete kustutamisele muuta teadusuuringute eesmärgi saavutamise tõenäoliselt võimatuks või seda tõsiselt kahjustada. Euroopa Andmekaitsenõukogu selgitab ka, millal võivad vastutavad töötlejad lükata tagasi üksikisikute vastuväite nende isikuandmete töötlemisele teadusuuringute eesmärgil. Nii võib see olla juhul, kui töötlemine on vajalik avaliku huviga seotud ülesande täitmiseks.
Andmekaitsenõukogu tuletab meelde, et kui teadusuuringute eesmärgil toimuvas isikuandmete töötlemises osaleb mitu üksust, on vaja hinnata ja dokumenteerida, kuidas vastutus üksuste vahel jaotatakse. Sellega seoses on suunistes esitatud kasulikke näiteid, et selgitada, millistes olukordades võivad üksused kvalifitseeruda vastutavaks töötlejaks, kaasvastutavaks töötlejaks või volitatud töötlejaks.
Lõpetuseks selgitab andmekaitsenõukogu, kuidas vastutavad töötlejad saavad hinnata asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu anonüümimine või pseudonüümimine, kui isikuandmeid töödeldakse teadusuuringute eesmärgil. Euroopa Andmekaitsenõukogu toob näiteid muudest kaitsemeetmetest, mida võiks rakendada sõltuvalt tehtud teadustegevusest tulenevatest riskidest. Need hõlmavad sõltumatut või eetilist järelevalvet, turvalist töötlemiskeskkonda, eraelu puutumatust soodustavaid tehnoloogiaid, kaitsemeetmeid uurimistulemuste avaldamiseks, konfidentsiaalsuskorda ja edasise kasutamise tingimusi.
Suuniste üle toimub avalik konsultatsioon kuni 25. juunini, mis annab sidusrühmadele võimaluse esitada märkusi ja anda tagasisidet.
„Sprintimisrühm“ anonüümimisega seotud töö lõpuleviimiseks
Tulevaste anonüümimist käsitlevate suuniste valmimise kiirendamiseks lõi andmekaitsenõukogu spetsiaalse trükitöörühma, kes viib töö lõpule suveks.
Europrivaatsuse arvamused
Euroopa Andmekaitsenõukogu võttis vastu arvamuse, millega kiidetakse heaks ajakohastatud Europrivacy sertifitseerimiskriteeriumid Euroopa andmekaitsepitserina* vastavalt isikuandmete kaitse üldmääruse artikli 42 lõikele 5. Andmekaitsenõukogu kiitis Europrivacy sertifitseerimiskriteeriumid esimest korda heaks 10. oktoobril 2022 esimese Euroopa andmekaitsepitserina andmekaitsenõukogu arvamusega 28/2022. Europrivacy sertifitseerimissüsteemi kohaldamisala on laiendatud, et see hõlmaks väljaspool Euroopat asuvaid vastutavaid töötlejaid ja volitatud töötlejaid, kelle suhtes kohaldatakse isikuandmete kaitse üldmääruse artikli 3 lõiget 2 kas seetõttu, et nad pakuvad kaupu või teenuseid üksikisikutele Euroopas, või seetõttu, et nad jälgivad oma käitumist.
Lisaks võttis andmekaitsenõukogu esimest korda vastu arvamuse, milles tunnustatakse Europrivacy sertifitseerimiskriteeriume Euroopa andmekaitsepitserina, mida tuleb kasutada andmete edastamise vahendina kooskõlas isikuandmete kaitse üldmääruse artiklitega 42 ja 46. Väljaspool Euroopat asuvad andmeimportijad, kelle suhtes isikuandmete kaitse üldmäärust ei kohaldata, saavad nüüd taotleda Europrivacy sertifitseerimissüsteemi kaudu saadud andmete edastamist. Sertifitseerimine aitab täita Euroopa vastutavate töötlejate ja volitatud töötlejate kohustust tõendada, et nad tagavad asjakohased kaitsemeetmed isikuandmete edastamiseks kolmandatele riikidele või rahvusvahelistele organisatsioonidele.
Need heakskiidud annavad täiendavat teavet isikuandmete kaitse üldmääruse sertifitseerimismehhanismide kohta, kinnitades nende keskset rolli isikuandmete kaitse üldmääruse täitmise tagamise vahendina.
Märkus toimetajatele
*Euroopa andmekaitsepitser on isikuandmete kaitse üldmääruse sertifitseerimismehhanism, mida tunnustatakse kogu Euroopas. Pitser peab vastama Euroopa Andmekaitsenõukogu poolt heaks kiidetud konkreetsetele kriteeriumidele ja selle peab andma isikuandmete kaitse üldmääruse artikli 43 kohaselt akrediteeritud sertifitseerimisasutus, et tõendada vastavust isikuandmete kaitse üldmääruse standarditele.
Siin avaldatud pressiteade on automaatselt tõlgitud inglise keelest. Euroopa Andmekaitsenõukogu ei taga tõlke õigsust. Kahtluse korral vaadake ingliskeelset ametlikku teksti.