Bryssel 16. huhtikuuta – Euroopan tietosuojaneuvosto on hyväksynyt viimeisimmässä täysistunnossaan suuntaviivat henkilötietojen käsittelystä tieteellisiä tutkimustarkoituksia varten. Lisäksi johtokunta on perustanut työryhmän nopeuttamaan anonymisointia koskevien ohjeiden viimeistelyä. Tietosuojaneuvosto on myös antanut kaksi lausuntoa kahdesta Europrivacy-sertifiointikriteerikokonaisuudesta, jotka on hyväksyttävä eurooppalaisiksi tietosuojasineteiksi ja joista toista on käytettävä tiedonsiirtovälineenä.
Monet tieteellisen tutkimuksen alat ovat riippuvaisia yksilöiden henkilötietojen käsittelystä, ja tämä on johtanut merkittäviin tieteellisiin läpimurtoihin, jotka hyödyttävät yhteiskuntaa. Tekoälyn kaltaisten uusien teknologioiden yleistyminen edistää myös tieteellistä kehitystä antamalla tutkijoille mahdollisuuden käyttää ja analysoida dataa innovatiivisilla tavoilla.
Tieteellistä tutkimusta koskevien Euroopan tietosuojaneuvoston suuntaviivojen päätavoitteena on selkeyttää tilannetta tutkijoiden kannalta ja helpottaa yleisen tietosuoja-asetuksen noudattamista samalla kun varmistetaan yksilöiden perusoikeuksien suojelu.
”Tieteellisellä tutkimuksella voidaan edistää yhteiskunnallista kehitystä ja parantaa jokapäiväistä elämäämme.
Ohjeemme helpottavat innovatiivista tutkimusta auttamalla tutkijoita navigoimaan GDPR: ssä.
Euroopan tietosuojaneuvosto on sitoutunut tukemaan tiedeyhteisöä ja hyödyntämään tieteellisen tutkimuksen koko potentiaalin EU:ssa tietosuojaoikeuksia kunnioittaen.”
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus
Tietosuojaneuvosto selventää ohjeissaan tieteellisen tutkimuksen käsitettä. Sen määrittämiseksi, tapahtuuko käsittely yleisessä tietosuoja-asetuksessa tarkoitettuja tieteellisiä tutkimustarkoituksia varten, tietosuojaneuvosto esittää kuusi keskeistä viitteellistä tekijää, jotka olisi otettava huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten lisäksi. Nämä ovat seuraavat: 1) menetelmällinen ja järjestelmällinen lähestymistapa, 2) eettisten normien noudattaminen, 3) todennettavuus ja avoimuus, 4) autonomia ja riippumattomuus, 5) tutkimuksen tavoitteet ja 6) mahdollisuus edistää olemassa olevaa tieteellistä tietoa tai soveltaa olemassa olevaa tietoa uusilla tavoilla. Jos tutkimustoiminta täyttää nämä kuusi tekijää, sen voidaan olettaa olevan tieteellistä tutkimusta. Muussa tapauksessa rekisterinpitäjän olisi perusteltava ja pystyttävä osoittamaan, miksi toimintaa olisi pidettävä yleisessä tietosuoja-asetuksessa tarkoitettuna tieteellisenä tutkimuksena.
Myöhemmän käsittelyn tieteellisiä tutkimustarkoituksia varten oletetaan olevan yhteensopivaa yksilöiden henkilötietojen alkuperäisen keräämistarkoituksen kanssa. Rekisterinpitäjillä ei näin ollen ole velvollisuutta tehdä yleisen tietosuoja-asetuksen mukaista käyttötarkoituksen yhteensopivuustestiä sen määrittämiseksi, onko uusi käsittely yhteensopivaa keräämisen alkuperäisen tarkoituksen kanssa. Rekisterinpitäjien on kuitenkin varmistettava, että alkuperäisen käsittelyn oikeusperusta soveltuu myös henkilötietojen myöhempään käsittelyyn tieteellisiä tutkimustarkoituksia varten.
Rekisterinpitäjät voivat luottaa laajaan suostumukseen, jos tutkimuksen tarkoitukset eivät ole täysin tiedossa henkilötietoja kerättäessä. Tässä tapauksessa tutkijoiden olisi noudatettava tieteellisen tutkimuksen eettisiä normeja ja otettava käyttöön lisätakeita käyttötarkoituksen määrittelyn puuttumisen kompensoimiseksi. Rekisterinpitäjät voivat myös pyytää yksittäisiä henkilöitä antamaan suostumuksensa erilaisiin yksittäisiin tutkimushankkeisiin erikseen heti, kun näiden hankkeiden tarkoitukset ovat tiedossa (dynaaminen suostumus). Laajan ja dynaamisen suostumuksen yhdistelmä on myös mahdollinen.
Lisäksi tietosuojaneuvosto selventää yksilöiden oikeuksia, kun heidän henkilötietojaan käsitellään tieteellisiä tarkoituksia varten. Tähän sisältyvät oikeudet poistaa ja vastustaa henkilötietoja, joihin voidaan soveltaa rajoituksia, kun henkilötietoja käsitellään tieteellisiä tutkimustarkoituksia varten. Tietosuojaneuvosto antaa esimerkkejä siitä, milloin poistamisoikeuden voidaan katsoa tekevän tieteellisen tutkimuksen suorittamisen mahdottomaksi tai heikentävän sitä vakavasti. Tietosuojaneuvosto selittää myös, milloin rekisterinpitäjät voivat hylätä henkilön vastalauseen, joka koskee hänen henkilötietojensa käsittelyä tieteellisiä tutkimustarkoituksia varten. Näin voi olla silloin, kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.
Tietosuojaneuvosto muistuttaa, että kun useat yhteisöt osallistuvat henkilötietojen käsittelyyn tieteellisiä tutkimustarkoituksia varten, on tarpeen arvioida ja dokumentoida, miten vastuut jaetaan yhteisöjen kesken. Tältä osin suuntaviivoissa annetaan hyödyllisiä esimerkkejä sen selventämiseksi, missä tilanteissa yhteisöjä voidaan pitää rekisterinpitäjinä, yhteisrekisterinpitäjinä tai henkilötietojen käsittelijöinä.
Tietosuojaneuvosto selittää myös, miten rekisterinpitäjät voivat arvioida asianmukaisia teknisiä ja organisatorisia toimenpiteitä, kuten anonymisointia tai pseudonymisointia, käsitellessään henkilötietoja tieteellistä tutkimusta varten. Tietosuojaneuvosto antaa esimerkkejä muista suojatoimista, joita voitaisiin toteuttaa toteutettujen tutkimustoimien aiheuttamien riskien mukaan. Näitä ovat muun muassa riippumaton tai eettinen valvonta, turvalliset käsittely-ympäristöt, yksityisyyden suojaa parantavat teknologiat, tutkimustulosten julkaisemista koskevat suojatoimenpiteet, luottamuksellisuutta koskevat järjestelyt ja jatkokäyttöä koskevat ehdot.
Suuntaviivoista järjestetään 25. kesäkuutaasti julkinen kuuleminen, jossa sidosryhmillä on mahdollisuus esittää huomautuksia ja antaa palautetta.
”Sprinttiryhmä” viimeistelemään anonymisointia koskevan työn
Nopeuttaakseen anonymisointia koskevien tulevien suuntaviivojen viimeistelyä lautakunta perusti erityisen "sprinttitiimin", joka saattaa työn päätökseen kesään mennessä.
Europrivacy-lausunnot
Tietosuojaneuvosto antoi lausunnon, jossa se hyväksyi päivitetyt Europrivacy-sertifiointikriteerit eurooppalaiseksi tietosuojasinetiksi* yleisen tietosuoja-asetuksen 42 artiklan 5 kohdan mukaisesti. Tietosuojaneuvosto hyväksyi Europrivacy-sertifiointikriteerit ensimmäisen kerran 10. lokakuuta 2022 ensimmäisenä eurooppalaisena tietosuojasinettinä tietosuojaneuvoston lausunnossa 28/2022. Europrivacy-sertifiointijärjestelmän soveltamisalaa on laajennettu kattamaan Euroopan ulkopuolelle sijoittautuneet rekisterinpitäjät ja henkilötietojen käsittelijät, joihin sovelletaan yleisen tietosuoja-asetuksen 3 artiklan 2 kohtaa joko siksi, että ne tarjoavat tavaroita tai palveluja yksityishenkilöille Euroopassa, tai siksi, että ne seuraavat heidän käyttäytymistään.
Lisäksi tietosuojaneuvosto antoi ensimmäistä kertaa lausunnon, jossa tunnustetaan Europrivacy-sertifiointikriteerit eurooppalaiseksi tietosuojasinetiksi, jota käytetään tiedonsiirtovälineenä yleisen tietosuoja-asetuksen 42 ja 46 artiklan mukaisesti. Euroopan ulkopuoliset tietojen tuojat, joihin ei sovelleta yleistä tietosuoja-asetusta, voivat nyt hakea Europrivacy-sertifiointijärjestelmää vastaanottamiensa tietojen siirtoa varten. Sertifiointi auttaa täyttämään eurooppalaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden velvoitteen osoittaa, että ne tarjoavat asianmukaiset suojatoimet henkilötietojen siirroille kolmansiin maihin tai kansainvälisille järjestöille.
Nämä hyväksynnät tuovat lisävalaistusta yleisen tietosuoja-asetuksen sertifiointimekanismeihin ja vahvistavat niiden keskeisen roolin yleisen tietosuoja-asetuksen noudattamisen välineenä.
Huomautus toimittajille
*Euroopan tietosuojasinetti on kaikkialla Euroopassa tunnustettu GDPR-sertifiointimekanismi. Sinetin on täytettävä tietosuojaneuvoston hyväksymät erityiset kriteerit, ja sen on oltava yleisen tietosuoja-asetuksen 43 artiklan mukaisesti akkreditoidun sertifiointielimen myöntämä, jotta voidaan osoittaa yleisen tietosuoja-asetuksen standardien noudattaminen.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.