Brüsszel, április 16. – Legutóbbi plenáris ülésén az Európai Adatvédelmi Testület iránymutatásokat fogadott el a személyes adatok tudományos kutatási célú kezeléséről. Emellett a Testület létrehozott egy csoportot az anonimizálásra vonatkozó iránymutatások véglegesítésének felgyorsítására. Az Európai Adatvédelmi Testület két véleményt is elfogadott az európai adatvédelmi pecsétként való jóváhagyásra vonatkozó Europrivacy tanúsítási kritériumok két csoportjáról, amelyek közül az egyik adattovábbítási eszközként használandó.
A tudományos kutatás számos területe az egyének személyes adatainak feldolgozásán alapul, és ez jelentős tudományos áttöréseket eredményezett, amelyek a társadalom javát szolgálják. Az új technológiák, például a mesterséges intelligencia térnyerése szintén hozzájárul a tudományos fejlődéshez azáltal, hogy lehetővé teszi a kutatók számára az adatok innovatív módon történő felhasználását és elemzését.
Az Európai Adatvédelmi Testület tudományos kutatásra vonatkozó iránymutatásainak fő célja, hogy egyértelműbb helyzetet teremtsen a kutatók számára, és megkönnyítse az általános adatvédelmi rendeletnek való megfelelést, miközben biztosítja az egyének alapvető jogainak védelmét.
„A tudományos kutatás előmozdíthatja a társadalmi fejlődést és javíthatja mindennapi életünket.
Irányelveink megkönnyítik az innovatív kutatást azáltal, hogy segítik a kutatókat a GDPR navigálásában.
Az Európai Adatvédelmi Testület elkötelezett a tudományos közösség támogatása és a tudományos kutatásban rejlő lehetőségek teljes körű kiaknázása mellett az EU-ban, az adatvédelmi jogok tiszteletben tartása mellett.”
az Európai Adatvédelmi Testület elnöke, Anu Talus
Iránymutatásaiban a Testület pontosítja a „tudományos kutatás” fogalmát. Annak meghatározásához, hogy az adatkezelésre az általános adatvédelmi rendelet értelmében vett tudományos kutatási célból kerül-e sor, a Testület hat kulcsfontosságú indikatív tényezőt határoz meg, amelyeket az adatkezelés jellegén, hatókörén, kontextusán és céljain túlmenően figyelembe kell venni. Ezek a következők: 1) módszeres és szisztematikus megközelítés, 2) az etikai normák betartása, 3) ellenőrizhetőség és átláthatóság, 4) autonómia és függetlenség, 5) a kutatás célkitűzései, valamint 6) a meglévő tudományos ismeretekhez való hozzájárulás vagy a meglévő ismeretek újszerű alkalmazása. Ha a kutatási tevékenységek megfelelnek ennek a hat tényezőnek, akkor feltételezhető, hogy tudományos kutatásnak minősülnek. Ellenkező esetben az adatkezelőnek meg kell indokolnia és bizonyítania kell tudnia, hogy a tevékenységek miért tekintendők az általános adatvédelmi rendelet értelmében vett tudományos kutatásnak.
A tudományos kutatási célú további adatkezelésről vélelmezni kell, hogy összeegyeztethető az egyének személyes adatainak gyűjtésére irányuló eredeti céllal. Ezért az adatkezelők nem kötelesek elvégezni az általános adatvédelmi rendelet szerinti célkompatibilitási tesztet annak megállapítása érdekében, hogy az új adatkezelés összeegyeztethető-e az adatgyűjtés eredeti céljával. Az adatkezelőknek azonban továbbra is meg kell győződniük arról, hogy az eredeti adatkezelés jogalapja alkalmas-e a személyes adatok tudományos kutatási célú további kezelésére is.
Az adatkezelők „széles körű hozzájárulásra” támaszkodhatnak, ha a kutatás céljai a személyes adatok gyűjtésének időpontjában nem teljesen ismertek. Ebben az esetben a kutatóknak tiszteletben kell tartaniuk a tudományos kutatás etikai normáit, és további biztosítékokat kell bevezetniük a célmeghatározás hiányának ellensúlyozására. Az adatkezelők arra is felkérhetik az egyéneket, hogy külön-külön járuljanak hozzá a különböző egyedi kutatási projektekhez, amint e projektek céljai ismertté válnak (dinamikus hozzájárulás). A széles körű és dinamikus beleegyezés kombinációja is lehetséges.
Emellett az Európai Adatvédelmi Testület tisztázza az egyének jogait, amikor személyes adataikat tudományos célból kezelik. Ez magában foglalja a törléshez és a tiltakozáshoz való jogot, amelyekre korlátozások vonatkozhatnak, ha a személyes adatokat tudományos kutatási célból dolgozzák fel. A Testület példákat mutat be annak kifejtésére, hogy mikor tekinthető úgy, hogy a törléshez való jog valószínűsíthetően lehetetlenné tenné vagy súlyosan veszélyeztetné a tudományos kutatás célját. Az Európai Adatvédelmi Testület azt is kifejti, hogy az adatkezelők mikor utasíthatják el az egyéneknek a személyes adataik tudományos kutatási célú kezelésével szembeni kifogását. Ez akkor fordulhat elő, ha az adatkezelés közérdekből végzett feladat végrehajtásához szükséges.
A Testület emlékeztet arra, hogy amennyiben több szervezet vesz részt a személyes adatok tudományos kutatási célú kezelésében, értékelni és dokumentálni kell a felelősségi körök szervezetek közötti megosztását. E tekintetben az iránymutatások hasznos példákkal szolgálnak annak tisztázására, hogy a jogalanyok mely helyzetekben minősülhetnek adatkezelőnek, közös adatkezelőnek vagy adatfeldolgozónak.
Végezetül a Testület kifejti, hogy az adatkezelők hogyan értékelhetik a személyes adatok tudományos kutatási célú kezelése során a megfelelő technikai és szervezési intézkedéseket, például az anonimizálást vagy az álnevesítést. Az Európai Adatvédelmi Testület példákat mutat be olyan egyéb biztosítékokra, amelyek az elvégzett kutatási tevékenységek jelentette kockázatoktól függően végrehajthatók. Ezek közé tartozik a független vagy etikai felügyelet, a biztonságos feldolgozási környezet, a magánélet védelmét erősítő technológiák, a kutatási eredmények közzétételére vonatkozó védelmi intézkedések, a titoktartási megállapodások és a további felhasználás feltételei.
Az iránymutatásokról június 25-ig nyilvános konzultációra kerül sor, amely lehetőséget biztosít az érdekelt felek számára, hogy észrevételeket tegyenek és visszajelzést adjanak.
Egy „sprint csapat” az anonimizálással kapcsolatos munka véglegesítésére
Az anonimizálásra vonatkozó, küszöbön álló iránymutatások véglegesítésének felgyorsítása érdekében a Testület külön „sprintcsapatot” hozott létre, amely nyárra befejezi a munkát.
Europrivacy vélemények
Az Európai Adatvédelmi Testület véleményt fogadott el, amelyben az általános adatvédelmi rendelet 42. cikkének (5) bekezdése értelmében európai adatvédelmi pecsétként * jóváhagyta az Europrivacy tanúsítási kritériumok aktualizált készletét. A Testület az Európai Adatvédelmi Testület 28/2022. sz. véleményében először 2022. október 10-én hagyta jóvá az Europrivacy tanúsítási kritériumokat mint az első európai adatvédelmi pecsétet. Az Europrivacy tanúsítási rendszer hatályát kiterjesztették az Európán kívül letelepedett azon adatkezelőkre és adatfeldolgozókra is, akik vagy azért tartoznak az általános adatvédelmi rendelet 3. cikke (2) bekezdésének hatálya alá, mert árukat vagy szolgáltatásokat nyújtanak európai magánszemélyeknek, vagy azért, mert nyomon követik magatartásukat.
Emellett a Testület első alkalommal fogadott el véleményt, amelyben elismerte az Europrivacy tanúsítási kritériumokat mint az általános adatvédelmi rendelet 42. és 46. cikkével összhangban adattovábbítási eszközként használandó európai adatvédelmi pecsétet. Azok az Európán kívüli adatátvevők, akik nem tartoznak az általános adatvédelmi rendelet hatálya alá, most kérelmezhetik az Europrivacy tanúsítási rendszert a kapott adatok továbbítására. Ez a tanúsítás megkönnyíti az európai adatkezelők és adatfeldolgozók azon kötelezettségének teljesítését, hogy igazolják, hogy megfelelő biztosítékokat nyújtanak a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbításához.
Ezek a jóváhagyások további fényt derítenek az általános adatvédelmi rendelet tanúsítási mechanizmusaira, megerősítve azok kulcsfontosságú szerepét az általános adatvédelmi rendeletnek való megfelelés eszközeként.
Megjegyzés a szerkesztőknek
*Az európai adatvédelmi pecsét egy Európa-szerte elismert GDPR-tanúsítási mechanizmus. A pecsétnek meg kell felelnie az Európai Adatvédelmi Testület által jóváhagyott konkrét kritériumoknak, és azt az általános adatvédelmi rendelet 43. cikke szerint akkreditált tanúsító szervnek kell megadnia az általános adatvédelmi rendelet előírásainak való megfelelés bizonyítása érdekében.
Az itt közzétett sajtóközlemény automatikusan angolról lett lefordítva. Az Európai Adatvédelmi Testület nem garantálja a fordítás pontosságát. Amennyiben kétség merül fel, kérjük, olvassa el az angol nyelvű hivatalos szöveget.