Bruselj, 16. aprila – Evropski odbor za varstvo podatkov je na zadnjem plenarnem zasedanju sprejel smernice o obdelavi osebnih podatkov v znanstvenoraziskovalne namene. Poleg tega je odbor ustanovil skupino za pospešitev dokončnega oblikovanja smernic o anonimizaciji. EOVP je sprejel tudi dve mnenji o dveh sklopih certifikacijskih meril Europrivacy za odobritev kot evropskih pečatov za varstvo podatkov, od katerih se bo eno uporabljalo kot orodje za prenose.
Številna področja znanstvenih raziskav so odvisna od obdelave osebnih podatkov posameznikov, kar je privedlo do pomembnih znanstvenih prebojev, ki koristijo družbi. Vzpon novih tehnologij, kot je umetna inteligenca, prispeva tudi k znanstvenemu napredku, saj raziskovalcem omogoča inovativno uporabo in analizo podatkov.
Glavni cilj smernic EOVP o znanstvenih raziskavah je zagotoviti večjo jasnost za raziskovalce in olajšati skladnost s splošno uredbo o varstvu podatkov, hkrati pa zagotoviti varstvo temeljnih pravic posameznikov.
„Znanstvene raziskave lahko spodbudijo družbeni napredek in izboljšajo naše vsakdanje življenje.
Naše smernice omogočajo inovativne raziskave, saj raziskovalcem pomagajo pri krmarjenju po GDPR.
Evropski odbor za varstvo podatkov je zavezan podpori znanstvene skupnosti in izkoriščanju celotnega potenciala znanstvenih raziskav v EU ob hkratnem spoštovanju pravic do varstva podatkov.“
predsednica Evropskega odbora za varstvo podatkov Anu Talus
Odbor v svojih smernicah zagotavlja pojasnila o pojmu „znanstvene raziskave“. Za določitev, ali obdelava poteka v znanstvenoraziskovalne namene v smislu splošne uredbe o varstvu podatkov, odbor poleg narave, obsega, okoliščin in namenov obdelave navaja šest ključnih indikativnih dejavnikov, ki bi jih bilo treba upoštevati. To so: 1) metodičen in sistematičen pristop, 2) upoštevanje etičnih standardov, 3) preverljivost in preglednost, 4) samostojnost in neodvisnost, 5) cilji raziskav in 6) potencial za prispevanje k obstoječemu znanstvenemu znanju ali uporabo obstoječega znanja na nove načine. Če raziskovalne dejavnosti ustrezajo tem šestim dejavnikom, se lahko domneva, da predstavljajo znanstveno raziskovanje. V nasprotnem primeru bi moral upravljavec utemeljiti in biti zmožen dokazati, zakaj bi bilo treba dejavnosti šteti za znanstvene raziskave v smislu splošne uredbe o varstvu podatkov.
Nadaljnja obdelava v znanstvenoraziskovalne namene se šteje za združljivo s prvotnim namenom zbiranja osebnih podatkov posameznikov. Zato upravljavcem ni treba opraviti preskusa združljivosti namena v skladu s splošno uredbo o varstvu podatkov, da bi ugotovili, ali je nova obdelava združljiva s prvotnim namenom zbiranja. Vendar morajo upravljavci še vedno zagotoviti, da je pravna podlaga prvotne obdelave primerna tudi za nadaljnjo obdelavo osebnih podatkov v znanstvenoraziskovalne namene.
Upravljavci se lahko zanesejo na „široko privolitev“, kadar nameni raziskav v času zbiranja osebnih podatkov niso v celoti znani. V tem primeru bi morali raziskovalci spoštovati etične standarde za znanstvene raziskave in uvesti dodatne zaščitne ukrepe, s katerimi bi nadomestili pomanjkanje specifikacije namena. Upravljavci lahko posameznike zaprosijo tudi za ločeno soglasje k različnim posameznim raziskovalnim projektom, takoj ko so znani nameni teh projektov (dinamično soglasje). Možna je tudi kombinacija širokega in dinamičnega soglasja.
Poleg tega EOVP pojasnjuje pravice posameznikov, kadar se njihovi osebni podatki obdelujejo v znanstvene namene. To vključuje pravice do izbrisa in ugovora, za katere lahko veljajo omejitve, kadar se osebni podatki obdelujejo v znanstvenoraziskovalne namene. Odbor navaja primere, s katerimi pojasni, kdaj se lahko šteje, da bi pravica do izbrisa lahko onemogočila ali resno ogrozila cilj izvajanja znanstvenih raziskav. EOVP pojasnjuje tudi, kdaj lahko upravljavci zavrnejo ugovor posameznikov zoper obdelavo njihovih osebnih podatkov za znanstvenoraziskovalne namene. To se lahko zgodi, kadar je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi javnega interesa.
Odbor opozarja, da je treba, kadar je v obdelavo osebnih podatkov za znanstvenoraziskovalne namene vključenih več subjektov, oceniti in dokumentirati, kako so odgovornosti dodeljene subjektom. V zvezi s tem smernice zagotavljajo koristne primere za pojasnitev, v katerih primerih se lahko subjekti štejejo za upravljavce, skupne upravljavce ali obdelovalce.
Nazadnje odbor pojasnjuje, kako lahko upravljavci pri obdelavi osebnih podatkov za znanstvenoraziskovalne namene ocenijo ustrezne tehnične in organizacijske ukrepe, kot sta anonimizacija ali psevdonimizacija. EOVP navaja primere drugih zaščitnih ukrepov, ki bi jih bilo mogoče izvajati glede na tveganja, ki jih predstavljajo izvedene raziskovalne dejavnosti. Ti vključujejo neodvisen ali etični nadzor, varna okolja za obdelavo, tehnologije za boljše varovanje zasebnosti, zaščitne ukrepe za objavo rezultatov raziskav, dogovore o zaupnosti in pogoje za nadaljnjo uporabo.
Smernice bodo predmet javnega posvetovanja do 25. junija, kar bo deležnikom omogočilo, da predložijo pripombe in povratne informacije.
„Sprint team“ za dokončanje dela v zvezi z anonimizacijo
Da bi pospešil dokončanje prihodnjih smernic o anonimizaciji, je odbor ustanovil posebno „tiskovno ekipo“, ki bo delo zaključila do poletja.
Mnenja Europrivacy
EOVP je sprejel mnenje o odobritvi posodobljenega sklopa meril za certificiranje Europrivacy kot evropskega pečata za varstvo podatkov* v skladu s členom 42(5) splošne uredbe o varstvu podatkov. Odbor je prvič odobril certifikacijska merila Europrivacy 10. oktobra 2022 kot prvi evropski pečat za varstvo podatkov z mnenjem EOVP 28/2022. Področje uporabe certifikacijske sheme Europrivacy je bilo razširjeno na upravljavce in obdelovalce s sedežem zunaj Evrope, za katere velja člen 3(2) splošne uredbe o varstvu podatkov, ker zagotavljajo blago ali storitve posameznikom v Evropi ali ker spremljajo njihovo vedenje.
Poleg tega je odbor prvič sprejel mnenje, v katerem je merila za certificiranje Europrivacy priznal kot evropski pečat za varstvo podatkov, ki se bo uporabljal kot orodje za prenose v skladu s členoma 42 in 46 splošne uredbe o varstvu podatkov. Uvozniki podatkov zunaj Evrope, za katere ne velja splošna uredba o varstvu podatkov, se lahko zdaj za prenose podatkov, ki jih prejmejo, prijavijo v certifikacijsko shemo Europrivacy. To potrjevanje bo olajšalo izpolnjevanje obveznosti upravljavcev in obdelovalcev v Evropi, da dokažejo, da zagotavljajo ustrezne zaščitne ukrepe za prenose osebnih podatkov v tretje države ali mednarodne organizacije.
Te odobritve dodatno pojasnjujejo mehanizme certificiranja iz splošne uredbe o varstvu podatkov in potrjujejo njihovo ključno vlogo orodja za zagotavljanje skladnosti s splošno uredbo o varstvu podatkov.
Opomba urednikom
*Evropski pečat za varstvo podatkov je mehanizem certificiranja v skladu s splošno uredbo o varstvu podatkov, priznan po vsej Evropi. Pečat mora izpolnjevati posebna merila, ki jih odobri EOVP, podeliti pa ga mora certifikacijski organ, akreditiran v skladu s členom 43 splošne uredbe o varstvu podatkov, da dokaže skladnost s standardi splošne uredbe o varstvu podatkov.
Sporočilo za javnost, objavljeno tukaj, je bilo samodejno prevedeno iz angleščine. EOVP ne zagotavlja točnosti prevoda. Če obstaja kakršen koli dvom, glejte uradno besedilo v angleški različici.