Bruksela, 16 kwietnia – Na ostatnim posiedzeniu plenarnym EROD przyjęła wytyczne dotyczące przetwarzania danych osobowych do celów badań naukowych. Ponadto Rada powołała zespół, który ma przyspieszyć finalizację wytycznych dotyczących anonimizacji. EROD przyjęła również dwie opinie w sprawie dwóch zestawów kryteriów certyfikacji Europrivacy do zatwierdzenia jako europejskie pieczęcie ochrony danych, z których jedna ma być wykorzystywana jako narzędzie przekazywania danych.
Wiele obszarów badań naukowych opiera się na przetwarzaniu danych osobowych osób fizycznych, co doprowadziło do znaczących przełomów naukowych przynoszących korzyści społeczeństwu. Rozwój nowych technologii, takich jak sztuczna inteligencja, również przyczynia się do postępu naukowego, umożliwiając naukowcom wykorzystywanie i analizowanie danych w innowacyjny sposób.
Głównym celem wytycznych EROD dotyczących badań naukowych jest zapewnienie naukowcom większej jasności i ułatwienie przestrzegania RODO, przy jednoczesnym zapewnieniu ochrony praw podstawowych osób fizycznych.
Badania naukowe mogą napędzać postęp społeczny i poprawiać nasze codzienne życie.
Nasze wytyczne ułatwiają innowacyjne badania, pomagając naukowcom w poruszaniu się po RODO.
EROD jest zaangażowana we wspieranie środowiska naukowego i uwalnianie pełnego potencjału badań naukowych w UE, przy jednoczesnym poszanowaniu praw do ochrony danych”.
Przewodnicząca EROD Anu Talus
W swoich wytycznych Rada przedstawia wyjaśnienia dotyczące pojęcia „badań naukowych”. Aby ustalić, czy przetwarzanie odbywa się do celów badań naukowych w rozumieniu RODO, Rada przedstawia sześć kluczowych czynników orientacyjnych, które należy wziąć pod uwagę, oprócz charakteru, zakresu, kontekstu i celów przetwarzania. Są to: 1) metodyczne i systematyczne podejście, 2) przestrzeganie norm etycznych, 3) weryfikowalność i przejrzystość, 4) autonomia i niezależność, 5) cele badań oraz 6) potencjał w zakresie przyczyniania się do istniejącej wiedzy naukowej lub stosowania istniejącej wiedzy w nowatorski sposób. Jeżeli działania badawcze spełniają te sześć czynników, można domniemywać, że stanowią one badania naukowe. W przeciwnym razie administrator powinien uzasadnić i być w stanie wykazać, dlaczego działania te należy uznać za badania naukowe w rozumieniu RODO.
Dalsze przetwarzanie do celów badań naukowych uznaje się za zgodne z pierwotnym celem gromadzenia danych osobowych osób fizycznych. W związku z tym administratorzy nie są zobowiązani do przeprowadzenia testu zgodności celu na podstawie RODO w celu ustalenia, czy nowe przetwarzanie jest zgodne z pierwotnym celem gromadzenia danych. Administratorzy muszą jednak nadal upewnić się, że podstawa prawna pierwotnego przetwarzania jest również odpowiednia do dalszego przetwarzania danych osobowych do celów badań naukowych.
Administratorzy mogą polegać na „szerokiej zgodzie”, jeżeli cele badań nie są w pełni znane w momencie gromadzenia danych osobowych. W takim przypadku naukowcy powinni przestrzegać norm etycznych dotyczących badań naukowych i wprowadzić dodatkowe zabezpieczenia, aby zrekompensować brak określenia celu. Administratorzy mogą również zwrócić się do osób fizycznych o wyrażenie odrębnej zgody na poszczególne projekty badawcze, gdy tylko cele tych projektów staną się znane (zgoda dynamiczna). Możliwe jest również połączenie zarówno szerokiej, jak i dynamicznej zgody.
Ponadto EROD wyjaśnia prawa osób fizycznych w przypadku przetwarzania ich danych osobowych do celów naukowych. Obejmuje to prawa do usunięcia i sprzeciwu, w odniesieniu do których mogą mieć zastosowanie ograniczenia, gdy dane osobowe są przetwarzane do celów badań naukowych. Rada podaje przykłady wyjaśniające, kiedy można uznać, że prawo do usunięcia danych może uniemożliwić lub poważnie zagrozić celowi prowadzenia badań naukowych. EROD wyjaśnia również, kiedy administratorzy mogą odrzucić sprzeciw osób fizycznych wobec przetwarzania ich danych osobowych do celów badań naukowych. Może tak być w przypadku, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego ze względu na interes publiczny.
Rada przypomina, że w przypadku gdy w przetwarzanie danych osobowych do celów badań naukowych zaangażowanych jest kilka podmiotów, konieczne jest dokonanie oceny i udokumentowanie sposobu podziału obowiązków między tymi podmiotami. W tym względzie wytyczne dostarczają przydatnych przykładów wyjaśniających, w jakich sytuacjach podmioty mogą kwalifikować się jako administratorzy, współadministratorzy lub podmiot przetwarzający.
Ponadto Rada wyjaśnia, w jaki sposób administratorzy mogą oceniać odpowiednie środki techniczne i organizacyjne, takie jak anonimizacja lub pseudonimizacja, podczas przetwarzania danych osobowych do celów badań naukowych. EROD przedstawia przykłady innych zabezpieczeń, które można wdrożyć w zależności od ryzyka związanego z prowadzoną działalnością badawczą. Obejmują one niezależny lub etyczny nadzór, bezpieczne środowiska przetwarzania, technologie zwiększające prywatność, środki ochronne dotyczące publikacji wyników badań, ustalenia dotyczące poufności oraz warunki dalszego wykorzystania.
Wytyczne będą przedmiotem konsultacji publicznych do dnia 25 czerwca, co umożliwi zainteresowanym stronom zgłaszanie uwag i przekazywanie informacji zwrotnych.
„Zespół ds. sprintu” w celu zakończenia prac nad anonimizacją
Aby przyspieszyć finalizację przyszłych wytycznych dotyczących anonimizacji, Rada utworzyła specjalny „zespół ds. sprintu”, który zakończy prace do lata.
Opinie na temat europrywatności
EROD przyjęła opinię zatwierdzającą zaktualizowany zestaw kryteriów certyfikacji Europrivacy jako europejską pieczęć ochrony danych *zgodnie z art. 42 ust. 5 RODO. Rada po raz pierwszy zatwierdziła kryteria certyfikacji Europrivacy 10 października 2022 r. jako pierwszą europejską pieczęć ochrony danych w opinii EROD 28/2022. Zakres systemu certyfikacji Europrivacy został rozszerzony na administratorów i podmioty przetwarzające mające siedzibę poza Europą, które podlegają art. 3 ust. 2 RODO, ponieważ dostarczają towary lub świadczą usługi na rzecz osób fizycznych w Europie lub monitorują ich zachowanie.
Ponadto po raz pierwszy Rada przyjęła opinię uznającą kryteria certyfikacji Europrivacy za europejską pieczęć ochrony danych, która ma być wykorzystywana jako narzędzie przekazywania danych zgodnie z art. 42 i 46 RODO. Podmioty odbierające dane poza Europą, które nie podlegają RODO, mogą teraz ubiegać się o przekazanie otrzymanych danych w ramach systemu certyfikacji Europrivacy. Certyfikacja ta ułatwi wypełnienie spoczywającego na administratorach i podmiotach przetwarzających w Europie obowiązku wykazania, że zapewniają one odpowiednie zabezpieczenia w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Zatwierdzenia te rzucają więcej światła na mechanizmy certyfikacji RODO, potwierdzając ich kluczową rolę jako narzędzia zgodności z RODO.
Uwaga dla redaktorów
*Europejska pieczęć ochrony danych jest mechanizmem certyfikacji RODO uznawanym w całej Europie. Pieczęć musi spełniać określone kryteria zatwierdzone przez EROD i musi zostać przyznana przez jednostkę certyfikującą akredytowaną na podstawie art. 43 RODO w celu udowodnienia zgodności ze standardami RODO.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.