Bruxelles, 16 aprilie – În cadrul ultimei sale sesiuni plenare, CEPD a adoptat orientări privind prelucrarea datelor cu caracter personal în scopuri de cercetare științifică. În plus, Consiliul a creat o echipă pentru a accelera finalizarea orientărilor privind anonimizarea. CEPD a adoptat, de asemenea, două avize cu privire la cele două seturi de criterii de certificare Europrivacy în vederea aprobării ca sigilii europene pentru protecția datelor, unul dintre acestea urmând să fie utilizat ca instrument pentru transferuri.
Multe domenii de cercetare științifică se bazează pe prelucrarea datelor cu caracter personal ale persoanelor fizice, iar acest lucru a condus la progrese științifice semnificative care aduc beneficii societății. Dezvoltarea noilor tehnologii, cum ar fi inteligența artificială, contribuie, de asemenea, la progresul științific, permițând cercetătorilor să utilizeze și să analizeze datele în moduri inovatoare.
Principalul obiectiv al orientărilor CEPD privind cercetarea științifică este de a oferi mai multă claritate cercetătorilor și de a facilita respectarea RGPD, asigurând în același timp protecția drepturilor fundamentale ale persoanelor.
„Cercetarea științifică poate stimula progresul societății și ne poate îmbunătăți viața de zi cu zi.
Orientările noastre facilitează cercetarea inovatoare, ajutând cercetătorii să navigheze în GDPR.
CEPD se angajează să sprijine comunitatea științifică și să valorifice întregul potențial al cercetării științifice în UE, respectând în același timp drepturile în materie de protecție a datelor.”
Președintele CEPD, Anu Talus
În orientările sale, comitetul oferă clarificări cu privire la conceptul de „cercetare științifică”. Pentru a stabili dacă prelucrarea are loc în scopuri de cercetare științifică în sensul RGPD, comitetul furnizează șase factori-cheie orientativi care ar trebui luați în considerare, pe lângă natura, domeniul de aplicare, contextul și scopurile prelucrării. Acestea sunt: 1) abordarea metodică și sistematică, 2) aderarea la standardul etic, 3) caracterul verificabil și transparența, 4) autonomia și independența, 5) obiectivele cercetării și 6) potențialul de a contribui la cunoștințele științifice existente sau de a aplica cunoștințele existente în moduri noi. În cazul în care activitățile de cercetare îndeplinesc acești șase factori, se poate presupune că acestea constituie cercetare științifică. În caz contrar, operatorul ar trebui să justifice și să fie în măsură să demonstreze de ce activitățile ar trebui considerate cercetare științifică, în sensul RGPD.
Prelucrarea ulterioară în scopuri de cercetare științifică este considerată compatibilă cu scopul inițial de colectare a datelor cu caracter personal ale persoanelor fizice. Prin urmare, operatorii nu sunt obligați să efectueze testul de compatibilitate a scopului în temeiul RGPD pentru a stabili dacă noua prelucrare este compatibilă cu scopul inițial al colectării. Cu toate acestea, operatorii trebuie să se asigure în continuare că temeiul juridic al prelucrării inițiale este adecvat și pentru prelucrarea ulterioară a datelor cu caracter personal în scopuri de cercetare științifică.
Operatorii se pot baza pe „consimțământul larg” în cazul în care scopurile cercetării nu sunt pe deplin cunoscute la momentul colectării datelor cu caracter personal. În acest caz, cercetătorii ar trebui să respecte standardele etice pentru cercetarea științifică și să instituie garanții suplimentare pentru a compensa lipsa specificării scopului. De asemenea, operatorii pot solicita persoanelor să își dea consimțământul separat pentru diferite proiecte de cercetare individuale, de îndată ce scopurile proiectelor respective devin cunoscute (consimțământ dinamic). Este posibilă, de asemenea, o combinație de consimțământ larg și dinamic.
În plus, CEPD clarifică drepturile persoanelor fizice atunci când datele lor cu caracter personal sunt prelucrate în scopuri științifice. Aceasta include drepturile de ștergere și de obiect pentru care se pot aplica limitări atunci când datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică. Comitetul oferă exemple pentru a explica situațiile în care se poate considera că dreptul la ștergere este de natură să facă imposibil sau să afecteze în mod grav obiectivul desfășurării cercetării științifice. CEPD explică, de asemenea, când operatorii pot respinge o obiecție a persoanelor fizice față de prelucrarea datelor lor cu caracter personal în scopuri de cercetare științifică. Acesta poate fi cazul atunci când prelucrarea este necesară pentru îndeplinirea unei sarcini îndeplinite din motive de interes public.
Comitetul reamintește că, atunci când mai multe entități sunt implicate în prelucrarea datelor cu caracter personal în scopuri de cercetare științifică, este necesar să se evalueze și să se documenteze modul în care sunt repartizate responsabilitățile între entități. În acest sens, orientările oferă exemple utile pentru a clarifica situațiile în care entitățile se pot califica drept operatori, operatori asociați sau persoane împuternicite de operatori.
În cele din urmă, comitetul explică modul în care operatorii pot evalua măsurile tehnice și organizatorice adecvate, cum ar fi anonimizarea sau pseudonimizarea, atunci când prelucrează date cu caracter personal în scopuri de cercetare științifică. CEPD oferă exemple de alte garanții care ar putea fi puse în aplicare în funcție de riscurile prezentate de activitățile de cercetare desfășurate. Printre acestea se numără supravegherea independentă sau etică, mediile de prelucrare securizate, tehnologiile de protecție a vieții private, măsurile de protecție pentru publicarea rezultatelor cercetării, acordurile de confidențialitate și condițiile de utilizare ulterioară.
Orientările vor face obiectul unei consultări publice până la 25 iunie, oferind părților interesate posibilitatea de a prezenta observații și de a oferi feedback.
O „echipă de imprimare” pentru finalizarea activității de anonimizare
Pentru a accelera finalizarea viitoarelor orientări privind anonimizarea, comitetul a creat o „echipă de imprimare” dedicată, care va finaliza lucrările până în vară.
Avizele Europrivacy
CEPD a adoptat un aviz de aprobare a setului actualizat de criterii de certificare Europrivacy ca sigiliu european privind protecția datelor *în temeiul articolului 42 alineatul (5) din RGPD. Comitetul a aprobat pentru prima dată criteriile de certificare Europrivacy la 10 octombrie 2022 ca primul sigiliu european privind protecția datelor prin Avizul 28/2022 al CEPD. Domeniul de aplicare al sistemului de certificare Europrivacy a fost extins pentru a include operatorii și persoanele împuternicite de operatori stabilite în afara Europei care fac obiectul articolului 3 alineatul (2) din RGPD, fie pentru că furnizează bunuri sau servicii persoanelor fizice din Europa, fie pentru că își monitorizează comportamentul.
În plus, pentru prima dată, comitetul a adoptat un aviz prin care a recunoscut criteriile de certificare Europrivacy ca sigiliu european privind protecția datelor, care urmează să fie utilizat ca instrument pentru transferuri în conformitate cu articolele 42 și 46 din RGPD. Importatorii de date din afara Europei care nu fac obiectul RGPD pot solicita acum sistemul de certificare Europrivacy pentru transferurile de date pe care le primesc. Această certificare va facilita îndeplinirea obligației operatorilor și a persoanelor împuternicite de operatori din Europa de a demonstra că oferă garanții adecvate pentru transferurile de date cu caracter personal către țări terțe sau organizații internaționale.
Aceste aprobări aduc mai multă lumină asupra mecanismelor de certificare GDPR, confirmând rolul lor cheie ca instrument de conformitate GDPR.
Notă către editori
Sigiliul european privind protecția datelor este un mecanism de certificare GDPR recunoscut în întreaga Europă. Sigiliul trebuie să îndeplinească criterii specifice aprobate de CEPD și trebuie să fie acordat de un organism de certificare acreditat în temeiul articolului 43 din RGPD pentru a dovedi conformitatea cu standardele RGPD.
Comunicatul de presă publicat aici a fost tradus automat din limba engleză. CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.