Briuselis, balandžio 16 d. Per paskutinę plenarinę sesiją EDAV priėmė Asmens duomenų tvarkymo mokslinių tyrimų tikslais gaires. Be to, Valdyba subūrė komandą, kad paspartintų anoniminimo gairių užbaigimą. EDAV taip pat priėmė dvi nuomones dėl dviejų „Europrivacy“ sertifikavimo kriterijų rinkinių, kurie turi būti patvirtinti kaip Europos duomenų apsaugos ženklai, iš kurių viena turi būti naudojama kaip duomenų perdavimo priemonė.
Daugelis mokslinių tyrimų sričių grindžiamos asmens duomenų tvarkymu, o tai paskatino svarbius mokslinius proveržius, kurie yra naudingi visuomenei. Atsirandant naujoms technologijoms, pavyzdžiui, dirbtiniam intelektui, taip pat prisidedama prie mokslo pažangos, nes tyrėjai gali novatoriškai naudoti ir analizuoti duomenis.
Pagrindinis EDAV mokslinių tyrimų gairių tikslas – suteikti tyrėjams daugiau aiškumo ir palengvinti BDAR laikymąsi, kartu užtikrinant asmenų pagrindinių teisių apsaugą.
„Moksliniai tyrimai gali paskatinti visuomenės pažangą ir pagerinti mūsų kasdienį gyvenimą.
Mūsų gairės palengvina novatoriškus mokslinius tyrimus, nes padeda tyrėjams naršyti BDAR.
EDAV yra įsipareigojusi remti mokslo bendruomenę ir išnaudoti visą mokslinių tyrimų potencialą ES, kartu užtikrinant duomenų apsaugos teises.“
EDAV pirmininkė, Anu Talus
Savo gairėse Valdyba paaiškina sąvoką „moksliniai tyrimai“. Siekdama nustatyti, ar duomenys tvarkomi mokslinių tyrimų tikslais, kaip apibrėžta BDAR, Valdyba, be duomenų tvarkymo pobūdžio, aprėpties, konteksto ir tikslų, pateikia šešis pagrindinius orientacinius veiksnius, į kuriuos reikėtų atsižvelgti. Tai yra: 1) metodinis ir sisteminis požiūris, 2) etikos standartų laikymasis, 3) patikrinamumas ir skaidrumas, 4) savarankiškumas ir nepriklausomumas, 5) mokslinių tyrimų tikslai ir 6) potencialas prisidėti prie esamų mokslinių žinių arba turimas žinias taikyti naujais būdais. Jei mokslinių tyrimų veikla atitinka šiuos šešis veiksnius, galima daryti prielaidą, kad tai yra moksliniai tyrimai. Priešingu atveju duomenų valdytojas turėtų pagrįsti ir sugebėti įrodyti, kodėl veikla turėtų būti laikoma moksliniais tyrimais, kaip tai suprantama pagal BDAR.
Laikoma, kad tolesnis duomenų tvarkymas mokslinių tyrimų tikslais yra suderinamas su pradiniu fizinių asmenų asmens duomenų rinkimo tikslu. Todėl duomenų valdytojai neprivalo atlikti tikslo suderinamumo testo pagal BDAR, kad nustatytų, ar naujas duomenų tvarkymas yra suderinamas su pradiniu duomenų rinkimo tikslu. Tačiau duomenų valdytojai vis tiek turi užtikrinti, kad pradinio duomenų tvarkymo teisinis pagrindas taip pat būtų tinkamas tolesniam asmens duomenų tvarkymui mokslinių tyrimų tikslais.
Duomenų valdytojai gali remtis „plataus masto sutikimu“, kai asmens duomenų rinkimo metu mokslinių tyrimų tikslai nėra visiškai žinomi. Tokiu atveju tyrėjai turėtų laikytis mokslinių tyrimų etikos standartų ir taikyti papildomas apsaugos priemones, kad kompensuotų tikslų nenurodymą. Duomenų valdytojai taip pat gali prašyti asmenų atskirai sutikti su skirtingais atskirais mokslinių tyrimų projektais, kai tik sužinomi tų projektų tikslai (dinamiškas sutikimas). Taip pat galimas plataus ir dinamiško sutikimo derinys.
Be to, EDAV paaiškina asmenų teises, kai jų asmens duomenys tvarkomi mokslo tikslais. Tai apima teisę reikalauti ištrinti duomenis ir daiktą, kuriems gali būti taikomi apribojimai, kai asmens duomenys tvarkomi mokslinių tyrimų tikslais. Valdyba pateikia pavyzdžių, kuriais paaiškinama, kada teisė reikalauti ištrinti duomenis gali būti laikoma galinčia padaryti neįmanomą arba rimtai pakenkti mokslinių tyrimų vykdymo tikslui. EDAV taip pat paaiškina, kada duomenų valdytojai gali atmesti asmenų prieštaravimą dėl jų asmens duomenų tvarkymo mokslinių tyrimų tikslais. Taip gali būti tuo atveju, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.
Valdyba primena, kad tais atvejais, kai tvarkant asmens duomenis mokslinių tyrimų tikslais dalyvauja keli subjektai, būtina įvertinti ir dokumentuoti, kaip atsakomybė paskirstoma subjektams. Šiuo atžvilgiu gairėse pateikiama naudingų pavyzdžių, kaip paaiškinti, kokiais atvejais subjektai gali būti laikomi duomenų valdytojais, bendrais duomenų valdytojais arba duomenų tvarkytojais.
Galiausiai Valdyba paaiškina, kaip duomenų valdytojai, tvarkydami asmens duomenis mokslinių tyrimų tikslais, gali įvertinti tinkamas technines ir organizacines priemones, pavyzdžiui, anoniminimą arba pseudoniminimą. EDAV pateikia kitų apsaugos priemonių, kurias būtų galima įgyvendinti atsižvelgiant į vykdomos mokslinių tyrimų veiklos keliamą riziką, pavyzdžių. Tai apima nepriklausomą arba etišką priežiūrą, saugią duomenų tvarkymo aplinką, privatumo didinimo technologijas, mokslinių tyrimų rezultatų skelbimo apsaugos priemones, konfidencialumo susitarimus ir tolesnio naudojimo sąlygas.
Dėl gairių iki birželio 25 d. vyks viešos konsultacijos, per kurias suinteresuotieji subjektai galės teikti pastabas ir atsiliepimus.
„Sprinto grupė“, kuri užbaigs su anoniminimu susijusį darbą
Siekdama paspartinti būsimų anoniminimo gairių užbaigimą, Valdyba sukūrė specialią „sprinto grupę“, kuri darbą užbaigs iki vasaros.
Nuomonės dėl europrivatumo
EDAV priėmė nuomonę, kuria patvirtino atnaujintą „Europrivacy“ sertifikavimo kriterijų rinkinį kaip Europos duomenų apsaugos ženklą *pagal BDAR 42 straipsnio 5 dalį. 2022 m. spalio 10 d. Valdyba pirmą kartą patvirtino „Europrivacy“ sertifikavimo kriterijus kaip pirmąjį Europos duomenų apsaugos ženklą EDAV nuomonėje 28/2022. „Europrivacy“ sertifikavimo schemos taikymo sritis buvo išplėsta, kad apimtų už Europos ribų įsisteigusius duomenų valdytojus ir duomenų tvarkytojus, kuriems BDAR 3 straipsnio 2 dalis taikoma dėl to, kad jie tiekia prekes ar teikia paslaugas asmenims Europoje, arba dėl to, kad stebi jų elgesį.
Be to, Valdyba pirmą kartą priėmė nuomonę, kurioje „Europrivacy“ sertifikavimo kriterijai pripažįstami Europos duomenų apsaugos ženklu, naudotinu kaip duomenų perdavimo priemonė pagal BDAR 42 ir 46 straipsnius. Duomenų importuotojai už Europos ribų, kuriems netaikomas BDAR, dabar gali kreiptis į „Europrivacy“ sertifikavimo sistemą dėl gautų duomenų perdavimo. Šis sertifikavimas palengvins Europos duomenų valdytojų ir duomenų tvarkytojų prievolės įrodyti, kad jie užtikrina tinkamas asmens duomenų perdavimo į trečiąsias valstybes ar tarptautinėms organizacijoms apsaugos priemones, vykdymą.
Šie patvirtinimai suteikia daugiau informacijos apie BDAR sertifikavimo mechanizmus ir patvirtina jų, kaip BDAR atitikties užtikrinimo priemonės, pagrindinį vaidmenį.
Pastaba redaktoriams
*Europos duomenų apsaugos ženklas yra BDAR sertifikavimo mechanizmas, pripažįstamas visoje Europoje. Antspaudas turi atitikti konkrečius EDAV patvirtintus kriterijus ir jį turi suteikti sertifikavimo įstaiga, akredituota pagal BDAR 43 straipsnį, kad įrodytų atitiktį BDAR standartams.
Čia paskelbtas pranešimas spaudai buvo automatiškai išverstas iš anglų kalbos. EDAV negarantuoja vertimo tikslumo. Jei kyla abejonių, žr. oficialų tekstą anglų kalba.