Bryssel den 16 april – Vid sin senaste plenarsession antog Europeiska dataskyddsstyrelsen riktlinjer för behandling av personuppgifter för vetenskapliga forskningsändamål. Dessutom har styrelsen inrättat ett team för att påskynda slutförandet av riktlinjerna för anonymisering. Europeiska dataskyddsstyrelsen har också antagit två yttranden om de två uppsättningarna av Europrivacy-certifieringskriterier för godkännande som europeiska sigill för dataskydd, varav ett ska användas som ett verktyg för överföringar.
Många vetenskapliga forskningsområden är beroende av behandling av enskilda personers personuppgifter, och detta har lett till betydande vetenskapliga genombrott som gynnar samhället. Framväxten av ny teknik, såsom artificiell intelligens, bidrar också till vetenskapliga framsteg genom att göra det möjligt för forskare att använda och analysera data på innovativa sätt.
Huvudsyftet med EDPB:s riktlinjer för vetenskaplig forskning är att skapa större klarhet för forskare och underlätta efterlevnaden av den allmänna dataskyddsförordningen, samtidigt som skyddet av enskildas grundläggande rättigheter säkerställs.
”Vetenskaplig forskning kan driva på samhällsutvecklingen och förbättra vår vardag.
Våra riktlinjer underlättar innovativ forskning genom att hjälpa forskare att navigera i GDPR.
Europeiska dataskyddsstyrelsen har åtagit sig att stödja forskarsamhället och frigöra den fulla potentialen hos vetenskaplig forskning i EU samtidigt som dataskyddsrättigheterna upprätthålls.”
EDPB:s ordförande, Anu Talus
Nämnden förtydligar i sina riktlinjer begreppet ”vetenskaplig forskning”. För att avgöra om behandlingen sker för vetenskapliga forskningsändamål i den mening som avses i dataskyddsförordningen tillhandahåller dataskyddsstyrelsen sex centrala vägledande faktorer som bör beaktas, utöver behandlingens art, omfattning, sammanhang och ändamål. Det rör sig om följande: 1) metodiskt och systematiskt tillvägagångssätt, 2) efterlevnad av etiska normer, 3) verifierbarhet och öppenhet, 4) autonomi och oberoende, 5) forskningens mål och 6) potential att bidra till befintlig vetenskaplig kunskap eller tillämpa befintlig kunskap på nya sätt. Om forskningsverksamheten uppfyller dessa sex faktorer kan den antas utgöra vetenskaplig forskning. I annat fall bör den personuppgiftsansvarige motivera och kunna visa varför verksamheten bör betraktas som vetenskaplig forskning i den mening som avses i den allmänna dataskyddsförordningen.
Ytterligare behandling för vetenskapliga forskningsändamål antas vara förenlig med det ursprungliga syftet att samla in enskilda personers personuppgifter. Därför är personuppgiftsansvariga inte skyldiga att göra ändamålskompatibilitetstestet enligt dataskyddsförordningen för att avgöra om den nya behandlingen är förenlig med det ursprungliga ändamålet med insamlingen. De personuppgiftsansvariga måste dock fortfarande se till att den rättsliga grunden för den ursprungliga behandlingen också är lämplig för ytterligare behandling av personuppgifter för vetenskapliga forskningsändamål.
Personuppgiftsansvariga kan förlita sig på ”brett samtycke” om forskningssyftena inte är helt kända vid tidpunkten för insamlingen av personuppgifterna. I detta fall bör forskare respektera etiska normer för vetenskaplig forskning och införa ytterligare skyddsåtgärder för att kompensera för bristen på ändamålsspecifikation. Personuppgiftsansvariga kan också be enskilda personer att ge sitt samtycke till olika enskilda forskningsprojekt separat, så snart som syftena med dessa projekt blir kända (dynamiskt samtycke). En kombination av både brett och dynamiskt samtycke är också möjlig.
Dessutom klargör EDPB enskildas rättigheter när deras personuppgifter behandlas för vetenskapliga ändamål. Detta inkluderar rätten till radering och föremål för vilka begränsningar kan gälla när personuppgifter behandlas för vetenskapliga forskningsändamål. Nämnden ger exempel för att förklara när rätten till radering kan anses sannolikt omöjliggöra eller allvarligt försämra målet att bedriva vetenskaplig forskning. Dataskyddsstyrelsen förklarar också när personuppgiftsansvariga kan avvisa enskilda personers invändning mot behandling av deras personuppgifter för vetenskapliga forskningsändamål. Detta kan vara fallet när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
Dataskyddsstyrelsen erinrar om att när flera enheter är involverade i behandlingen av personuppgifter för vetenskapliga forskningsändamål är det nödvändigt att bedöma och dokumentera hur ansvaret fördelas mellan enheterna. I detta avseende ger riktlinjerna användbara exempel för att klargöra i vilka situationer enheter kan betraktas som personuppgiftsansvariga, gemensamt personuppgiftsansvariga eller personuppgiftsbiträden.
Slutligen förklarar dataskyddsstyrelsen hur personuppgiftsansvariga kan bedöma lämpliga tekniska och organisatoriska åtgärder, såsom anonymisering eller pseudonymisering, vid behandling av personuppgifter för vetenskapliga forskningsändamål. Dataskyddsstyrelsen ger exempel på andra skyddsåtgärder som skulle kunna genomföras beroende på riskerna med den forskningsverksamhet som bedrivs. Dessa omfattar oberoende eller etisk tillsyn, säkra behandlingsmiljöer, integritetsfrämjande teknik, skyddsåtgärder för offentliggörande av forskningsresultat, sekretessarrangemang och villkor för vidare användning.
Riktlinjerna kommer att bli föremål för offentligt samråd fram till den 25 juni, vilket ger berörda parter möjlighet att lämna synpunkter och ge återkoppling.
Ett ”sprintteam” för att slutföra arbetet med anonymisering
För att påskynda slutförandet av de kommande riktlinjerna om anonymisering skapade styrelsen ett särskilt "sprintteam" som kommer att slutföra arbetet till sommaren.
Yttranden om integritet och elektronisk kommunikation
Europeiska dataskyddsstyrelsen antog ett yttrande om godkännande av den uppdaterade uppsättningen Europrivacy-certifieringskriterier som en europeisk sigill för dataskydd *i enlighet med artikel 42.5 i den allmänna dataskyddsförordningen. Dataskyddsstyrelsen godkände först certifieringskriterierna för Europrivacy den 10 oktober 2022 som den första europeiska dataskyddsstämpeln genom EDPB:s yttrande 28/2022. Tillämpningsområdet för Europrivacy-certifieringssystemet har utvidgats till att omfatta personuppgiftsansvariga och personuppgiftsbiträden som är etablerade utanför Europa och som omfattas av artikel 3.2 i dataskyddsförordningen, antingen för att de tillhandahåller varor eller tjänster till enskilda personer i Europa eller för att de övervakar deras beteende.
Dessutom antog dataskyddsstyrelsen för första gången ett yttrande om erkännande av Europrivacy-certifieringskriterierna som ett europeiskt sigill för dataskydd som ska användas som ett verktyg för överföringar i enlighet med artiklarna 42 och 46 i den allmänna dataskyddsförordningen. Dataimportörer utanför Europa som inte omfattas av GDPR kan nu ansöka om Europrivacy-certifieringssystemet för överföring av data som de tar emot. Denna certifiering kommer att underlätta uppfyllandet av skyldigheten för personuppgiftsansvariga och personuppgiftsbiträden i Europa att visa att de tillhandahåller lämpliga skyddsåtgärder för överföring av personuppgifter till tredjeländer eller internationella organisationer.
Dessa godkännanden ger ytterligare ljus över GDPR-certifieringsmekanismerna, vilket bekräftar deras nyckelroll som GDPR-efterlevnadsverktyg.
Anmärkning till redaktörer
* European Data Protection Seal är en GDPR-certifieringsmekanism som är erkänd över hela Europa. Förseglingen måste uppfylla särskilda kriterier som godkänts av Europeiska dataskyddsstyrelsen och måste beviljas av ett certifieringsorgan som ackrediterats enligt artikel 43 i den allmänna dataskyddsförordningen för att bevisa överensstämmelse med standarderna i den allmänna dataskyddsförordningen.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.