Bruxelles, 16. travnja – Europski odbor za zaštitu podataka na svojoj je posljednjoj plenarnoj sjednici donio smjernice o obradi osobnih podataka u svrhe znanstvenog istraživanja. Osim toga, Odbor je osnovao tim kako bi ubrzao dovršetak smjernica o anonimizaciji. Europski odbor za zaštitu podataka donio je i dva mišljenja o dvama skupovima kriterija za certifikaciju europrivatnosti za odobrenje kao europskih pečata za zaštitu podataka, od kojih će se jedan upotrebljavati kao alat za prijenose.
Mnoga područja znanstvenog istraživanja oslanjaju se na obradu osobnih podataka pojedinaca, što je dovelo do znatnih znanstvenih otkrića od kojih društvo ima koristi. Razvoj novih tehnologija, kao što je umjetna inteligencija, pridonosi i znanstvenom napretku jer istraživačima omogućuje upotrebu i analizu podataka na inovativne načine.
Glavni je cilj smjernica Europskog odbora za zaštitu podataka o znanstvenim istraživanjima pružiti veću jasnoću istraživačima i olakšati usklađenost s Općom uredbom o zaštiti podataka, uz istodobno osiguravanje zaštite temeljnih prava pojedinaca.
Znanstvena istraživanja mogu potaknuti društveni napredak i poboljšati naš svakodnevni život.
Naše smjernice olakšavaju inovativna istraživanja pomažući istraživačima da se snađu u GDPR-u.
Europski odbor za zaštitu podataka predan je podupiranju znanstvene zajednice i iskorištavanju punog potencijala znanstvenih istraživanja u EU-u uz istodobno poštovanje prava na zaštitu podataka.”
Predsjednik Europskog odbora za zaštitu podataka, Anu Talus
Odbor u svojim smjernicama daje pojašnjenja o pojmu „znanstveno istraživanje”. Kako bi se utvrdilo odvija li se obrada u svrhe znanstvenog istraživanja u smislu Opće uredbe o zaštiti podataka, Odbor pruža šest ključnih indikativnih čimbenika koje bi trebalo uzeti u obzir, uz prirodu, opseg, kontekst i svrhe obrade. To su: 1) metodički i sustavni pristup, 2) pridržavanje etičkih standarda, 3) provjerljivost i transparentnost, 4) autonomija i neovisnost, 5) ciljevi istraživanja i 6) potencijal za doprinos postojećim znanstvenim spoznajama ili primjenu postojećih spoznaja na nove načine. Ako istraživačke aktivnosti zadovoljavaju tih šest čimbenika, može se pretpostaviti da predstavljaju znanstveno istraživanje. U suprotnom bi voditelj obrade trebao obrazložiti i moći dokazati zašto bi se aktivnosti trebale smatrati znanstvenim istraživanjem u smislu Opće uredbe o zaštiti podataka.
Smatra se da je daljnja obrada u svrhe znanstvenog istraživanja u skladu s prvotnom svrhom prikupljanja osobnih podataka pojedinaca. Stoga voditelji obrade nisu obvezni provesti test kompatibilnosti svrhe u skladu s Općom uredbom o zaštiti podataka kako bi utvrdili je li nova obrada kompatibilna s izvornom svrhom prikupljanja. Međutim, voditelji obrade i dalje moraju osigurati da je pravna osnova početne obrade prikladna i za daljnju obradu osobnih podataka u svrhe znanstvenog istraživanja.
Voditelji obrade mogu se osloniti na „široku privolu” ako svrhe istraživanja nisu u potpunosti poznate u trenutku prikupljanja osobnih podataka. U tom bi slučaju istraživači trebali poštovati etičke standarde za znanstvena istraživanja i uspostaviti dodatne zaštitne mjere kako bi se nadoknadio nedostatak specifikacije svrhe. Voditelji obrade mogu od pojedinaca zatražiti i da zasebno pristanu na različite pojedinačne istraživačke projekte čim postanu poznate svrhe tih projekata (dinamična suglasnost). Moguća je i kombinacija širokog i dinamičnog pristanka.
Osim toga, Europski odbor za zaštitu podataka pojašnjava prava pojedinaca kada se njihovi osobni podaci obrađuju u znanstvene svrhe. To uključuje prava na brisanje i predmet na koji se mogu primjenjivati ograničenja kada se osobni podaci obrađuju u svrhe znanstvenog istraživanja. Odbor navodi primjere kojima se objašnjava kada se može smatrati da bi pravo na brisanje moglo onemogućiti ili ozbiljno ugroziti cilj provođenja znanstvenog istraživanja. EDPB objašnjava i kada voditelji obrade mogu odbiti prigovor pojedinaca na obradu njihovih osobnih podataka u svrhe znanstvenog istraživanja. To može biti slučaj kada je obrada nužna za izvršavanje zadaće koja se obavlja zbog javnog interesa.
Odbor podsjeća da je, ako je nekoliko subjekata uključeno u obradu osobnih podataka u svrhe znanstvenog istraživanja, potrebno procijeniti i dokumentirati kako se odgovornosti raspodjeljuju među subjektima. U tom pogledu Smjernice pružaju korisne primjere kako bi se pojasnilo u kojim se situacijama subjekti mogu smatrati voditeljima obrade, zajedničkim voditeljima obrade ili izvršiteljima obrade.
Naposljetku, Odbor objašnjava kako voditelji obrade mogu procijeniti odgovarajuće tehničke i organizacijske mjere, kao što su anonimizacija ili pseudonimizacija, pri obradi osobnih podataka u svrhe znanstvenog istraživanja. Europski odbor za zaštitu podataka navodi primjere drugih zaštitnih mjera koje bi se mogle provesti ovisno o rizicima koje predstavljaju provedene istraživačke aktivnosti. To uključuje neovisan ili etički nadzor, sigurna okruženja za obradu, tehnologije za poboljšanje privatnosti, zaštitne mjere za objavljivanje rezultata istraživanja, dogovore o povjerljivosti i uvjete za daljnju upotrebu.
Smjernice će biti predmet javnog savjetovanja do 25. lipnja, čime će se dionicima pružiti prilika za iznošenje primjedbi i davanje povratnih informacija.
„tim za ispis” za dovršetak rada na anonimizaciji
Kako bi se ubrzalo dovršenje predstojećih smjernica o anonimizaciji, Odbor je osnovao poseban „tim za ispis” koji će dovršiti rad do ljeta.
Mišljenja Europrivacyja
Europski odbor za zaštitu podataka donio je mišljenje kojim se odobrava ažurirani skup kriterija za certificiranje Europrivacyja kao europskog pečata za zaštitu podataka *u skladu s člankom 42. stavkom 5. Opće uredbe o zaštiti podataka. Odbor je 10. listopada 2022. prvi put odobrio kriterije za certifikaciju Europrivacyja kao prvi europski pečat za zaštitu podataka u Mišljenju Europskog odbora za zaštitu podataka 28/2022. Područje primjene programa certificiranja Europrivacy prošireno je na voditelje obrade i izvršitelje obrade s poslovnim nastanom izvan Europe na koje se primjenjuje članak 3. stavak 2. Opće uredbe o zaštiti podataka jer pružaju robu ili usluge pojedincima u Europi ili prate njihovo ponašanje.
Osim toga, Odbor je prvi put donio mišljenje u kojem se kriteriji certificiranja Europrivacyja priznaju kao europski pečat za zaštitu podataka koji će se upotrebljavati kao alat za prijenose u skladu s člancima 42. i 46. Opće uredbe o zaštiti podataka. Uvoznici podataka izvan Europe koji ne podliježu Općoj uredbi o zaštiti podataka sada se mogu prijaviti za program certificiranja Europrivacy za prijenose podataka koje prime. Ta će certifikacija olakšati ispunjavanje obveze voditelja obrade i izvršitelja obrade u Europi da dokažu da pružaju odgovarajuće zaštitne mjere za prijenose osobnih podataka trećim zemljama ili međunarodnim organizacijama.
Tim se odobrenjima dodatno pojašnjavaju mehanizmi certificiranja u skladu s Općom uredbom o zaštiti podataka, čime se potvrđuje njihova ključna uloga kao alata za usklađenost s Općom uredbom o zaštiti podataka.
Napomena urednicima
*Europski pečat za zaštitu podataka mehanizam je certifikacije u skladu s Općom uredbom o zaštiti podataka koji je priznat u cijeloj Europi. Pečat mora ispunjavati posebne kriterije koje je odobrio Europski odbor za zaštitu podataka i mora ga dodijeliti certifikacijsko tijelo akreditirano u skladu s člankom 43. Opće uredbe o zaštiti podataka kako bi se dokazala usklađenost sa standardima Opće uredbe o zaštiti podataka.
Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika. Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.