Brusel 16. apríla – Európsky výbor pre ochranu údajov prijal na svojom poslednom plenárnom zasadnutí usmernenia o spracúvaní osobných údajov na účely vedeckého výskumu. Okrem toho výbor vytvoril tím na urýchlenie finalizácie usmernení o anonymizácii. EDPB prijal aj dve stanoviská k dvom súborom certifikačných kritérií Europrivacy na schválenie ako európskych pečatí ochrany údajov, z ktorých jedno sa má použiť ako nástroj na prenosy.
Mnohé oblasti vedeckého výskumu závisia od spracúvania osobných údajov jednotlivcov, čo viedlo k významným vedeckým objavom v prospech spoločnosti. Vzostup nových technológií, ako je umelá inteligencia, takisto prispieva k vedeckému pokroku tým, že výskumným pracovníkom umožňuje využívať a analyzovať údaje inovačnými spôsobmi.
Hlavným cieľom usmernení EDPB k vedeckému výskumu je zabezpečiť väčšiu zrozumiteľnosť pre výskumných pracovníkov a uľahčiť dodržiavanie všeobecného nariadenia o ochrane údajov a zároveň zabezpečiť ochranu základných práv jednotlivcov.
„Vedecký výskum môže stimulovať spoločenský pokrok a zlepšiť náš každodenný život.
Naše usmernenia uľahčujú inovatívny výskum tým, že pomáhajú výskumným pracovníkom orientovať sa vo všeobecnom nariadení o ochrane údajov.
Európsky výbor pre ochranu údajov je odhodlaný podporovať vedeckú komunitu a uvoľniť plný potenciál vedeckého výskumu v EÚ pri súčasnom dodržiavaní práv na ochranu údajov.“
predsedníčka EDPB Anu Talus
Výbor vo svojich usmerneniach objasňuje pojem „vedecký výskum“. S cieľom určiť, či sa spracúvanie uskutočňuje na účely vedeckého výskumu v zmysle všeobecného nariadenia o ochrane údajov, výbor poskytuje šesť kľúčových indikatívnych faktorov, ktoré by sa okrem povahy, rozsahu, kontextu a účelov spracúvania mali zohľadniť. Ide o: 1) metodický a systematický prístup, 2) dodržiavanie etických noriem, 3) overiteľnosť a transparentnosť, 4) autonómia a nezávislosť, 5) ciele výskumu a 6) potenciál prispievať k existujúcim vedeckým poznatkom alebo uplatňovať existujúce poznatky novými spôsobmi. Ak výskumné činnosti spĺňajú týchto šesť faktorov, možno predpokladať, že predstavujú vedecký výskum. V opačnom prípade by mal prevádzkovateľ odôvodniť a byť schopný preukázať, prečo by sa činnosti mali považovať za vedecký výskum v zmysle všeobecného nariadenia o ochrane údajov.
Predpokladá sa, že ďalšie spracúvanie na účely vedeckého výskumu je zlučiteľné s pôvodným účelom zhromažďovania osobných údajov jednotlivcov. Prevádzkovatelia preto nie sú povinní vykonať test zlučiteľnosti účelu podľa všeobecného nariadenia o ochrane údajov s cieľom určiť, či je nové spracúvanie zlučiteľné s pôvodným účelom získavania. Prevádzkovatelia však musia zabezpečiť, aby bol právny základ prvotného spracúvania vhodný aj na ďalšie spracúvanie osobných údajov na účely vedeckého výskumu.
Prevádzkovatelia sa môžu spoľahnúť na „široký súhlas“, ak v čase zhromažďovania osobných údajov nie sú úplne známe účely výskumu. V tomto prípade by výskumní pracovníci mali dodržiavať etické normy vedeckého výskumu a zaviesť dodatočné záruky na kompenzáciu nedostatočnej špecifikácie účelu. Prevádzkovatelia môžu takisto požiadať jednotlivcov, aby súhlasili s rôznymi jednotlivými výskumnými projektmi samostatne, hneď ako sú známe účely týchto projektov (dynamický súhlas). Možná je aj kombinácia širokého a dynamického súhlasu.
EDPB okrem toho objasňuje práva jednotlivcov, keď sa ich osobné údaje spracúvajú na vedecké účely. Patria sem práva na vymazanie a právo namietať, na ktoré sa môžu vzťahovať obmedzenia, keď sa osobné údaje spracúvajú na účely vedeckého výskumu. Výbor uvádza príklady, ktoré vysvetľujú, kedy možno právo na vymazanie považovať za také, ktoré pravdepodobne znemožní alebo vážne naruší cieľ vykonávania vedeckého výskumu. EDPB takisto vysvetľuje, kedy môžu prevádzkovatelia zamietnuť námietku fyzických osôb proti spracúvaniu ich osobných údajov na účely vedeckého výskumu. Môže to tak byť v prípade, keď je spracúvanie potrebné na splnenie úlohy vykonávanej z dôvodov verejného záujmu.
Výbor pripomína, že ak je do spracúvania osobných údajov na účely vedeckého výskumu zapojených niekoľko subjektov, je potrebné posúdiť a zdokumentovať, ako sa medzi tieto subjekty rozdeľujú zodpovednosti. V tejto súvislosti sa v usmerneniach uvádzajú užitočné príklady na objasnenie situácií, v ktorých sa subjekty môžu považovať za prevádzkovateľov, spoločných prevádzkovateľov alebo sprostredkovateľov.
Výbor napokon vysvetľuje, ako môžu prevádzkovatelia pri spracúvaní osobných údajov na účely vedeckého výskumu posúdiť vhodné technické a organizačné opatrenia, ako je anonymizácia alebo pseudonymizácia. EDPB uvádza príklady iných záruk, ktoré by sa mohli zaviesť v závislosti od rizík, ktoré predstavujú vykonávané výskumné činnosti. Patrí medzi ne nezávislý alebo etický dohľad, bezpečné prostredie spracovania, technológie zvyšujúce súkromie, ochranné opatrenia na uverejňovanie výsledkov výskumu, opatrenia týkajúce sa dôvernosti a podmienky ďalšieho používania.
Usmernenia budú do 25. júna predmetom verejnej konzultácie, ktorá zainteresovaným stranám poskytne možnosť vyjadriť sa a poskytnúť spätnú väzbu.
„Šprintérsky tím“ na dokončenie práce na anonymizácii
S cieľom urýchliť dokončenie nadchádzajúcich usmernení o anonymizácii výbor vytvoril špecializovaný „šprintérsky tím“, ktorý dokončí prácu do leta.
Stanoviská Europrivacy
EDPB prijal stanovisko, ktorým sa schvaľuje aktualizovaný súbor certifikačných kritérií Europrivacy ako európska pečať ochrany údajov *podľa článku 42 ods. 5 všeobecného nariadenia o ochrane údajov. Výbor prvýkrát schválil certifikačné kritériá Europrivacy 10. októbra 2022 ako prvú európsku pečať ochrany údajov prostredníctvom stanoviska EDPB 28/2022. Rozsah pôsobnosti certifikačnej schémy Europrivacy sa rozšíril tak, aby zahŕňal prevádzkovateľov a sprostredkovateľov usadených mimo Európy, na ktorých sa vzťahuje článok 3 ods. 2 všeobecného nariadenia o ochrane údajov, a to buď preto, že poskytujú tovar alebo služby jednotlivcom v Európe, alebo preto, že monitorujú ich správanie.
Okrem toho výbor po prvýkrát prijal stanovisko, v ktorom uznáva certifikačné kritériá Europrivacy ako európsku pečať ochrany údajov, ktorá sa má používať ako nástroj na prenosy v súlade s článkami 42 a 46 všeobecného nariadenia o ochrane údajov. Dovozcovia údajov mimo Európy, ktorí nepodliehajú všeobecnému nariadeniu o ochrane údajov, môžu teraz požiadať o certifikačnú schému Europrivacy pre prenosy údajov, ktoré dostávajú. Táto certifikácia uľahčí plnenie povinnosti prevádzkovateľov a sprostredkovateľov v Európe preukázať, že poskytujú primerané záruky pre prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám.
Tieto schválenia ďalej objasňujú certifikačné mechanizmy všeobecného nariadenia o ochrane údajov a potvrdzujú ich kľúčovú úlohu ako nástroja na dodržiavanie všeobecného nariadenia o ochrane údajov.
Poznámka pre redaktorov
*Európska pečať ochrany údajov je mechanizmus certifikácie GDPR uznávaný v celej Európe. Pečať musí spĺňať osobitné kritériá schválené EDPB a musí ju udeliť certifikačný orgán akreditovaný podľa článku 43 všeobecného nariadenia o ochrane údajov na preukázanie súladu s normami všeobecného nariadenia o ochrane údajov.
Tlačová správa bola automaticky preložená z angličtiny. EDPB nezaručuje presnosť prekladu. Ak existujú pochybnosti, pozrite si oficiálny text v jeho anglickej verzii.