Evropský sbor pro ochranu osobních údajů (EDPB) na svém posledním plenárním zasedání přijal pokyny pro zpracování osobních údajů pro účely vědeckého výzkumu. Kromě toho Sbor vytvořil tým, který má urychlit finalizaci pokynů pro anonymizaci. EDPB rovněž přijal dvě stanoviska ke dvěma souborům kritérií pro vydávání osvědčení Europrivacy za účelem jejich schválení jako evropských pečetí ochrany údajů, z nichž jedno má být použito jako nástroj pro předávání údajů.
Mnoho oblastí vědeckého výzkumu závisí na zpracování osobních údajů jednotlivců, což vedlo k významným vědeckým průlomům, které jsou přínosem pro společnost. Vzestup nových technologií, jako je umělá inteligence, rovněž přispívá k vědeckému pokroku tím, že výzkumným pracovníkům umožňuje využívat a analyzovat data inovativními způsoby.
Hlavním cílem pokynů EDPB k vědeckému výzkumu je poskytnout výzkumným pracovníkům větší jasnost a usnadnit dodržování GDPR a zároveň zajistit ochranu základních práv jednotlivců.
„Vědecký výzkum může být hnací silou společenského pokroku a zlepšit náš každodenní život. Naše pokyny usnadňují inovativní výzkum tím, že výzkumným pracovníkům pomáhají orientovat se v obecném nařízení o ochraně osobních údajů. EDPB je odhodlán podporovat vědeckou obec a uvolnit plný potenciál vědeckého výzkumu v EU při současném dodržování práv na ochranu údajů,“
sdělila předsedkyně EDPB Anu Talus.
Sbor ve svých pokynech objasňuje pojem „vědecký výzkum“. K určení toho, zda zpracování probíhá pro účely vědeckého výzkumu ve smyslu obecného nařízení o ochraně osobních údajů (GDPR), poskytuje sbor šest klíčových orientačních faktorů, které by měly být kromě povahy, rozsahu, kontextu a účelů zpracování zohledněny.
Těmito faktory jsou:
Pokud výzkumné činnosti splňují těchto šest faktorů, lze je považovat za vědecký výzkum. V opačném případě by měl správce zdůvodnit a být schopen prokázat, proč by činnosti měly být považovány za vědecký výzkum ve smyslu GDPR.
Další zpracování pro účely vědeckého výzkumu se považuje za slučitelné s původním účelem shromažďování osobních údajů fyzických osob. Správci proto nejsou povinni provádět test slučitelnosti účelu podle GDPR s cílem určit, zda je nové zpracování slučitelné s původním účelem shromažďování. Správci však musí zajišťovat, aby byl právní základ prvotního zpracování vhodný i pro další zpracování osobních údajů pro účely vědeckého výzkumu.
Správci se mohou spolehnout na „obecný souhlas“, pokud účely výzkumu nejsou v době shromažďování osobních údajů plně známy. V tomto případě by výzkumní pracovníci měli dodržovat etické normy pro vědecký výzkum a zavést další záruky, které by kompenzovaly nedostatečnou specifikaci účelu. Správci mohou rovněž požádat fyzické osoby o souhlas s různými jednotlivými výzkumnými projekty samostatně, jakmile jsou známy účely těchto projektů (dynamický souhlas). Možná je i kombinace širokého a dynamického souhlasu.
Kromě toho EDPB objasňuje práva jednotlivců, pokud jsou jejich osobní údaje zpracovávány pro vědecké účely. To zahrnuje právo na výmaz a právo vznést námitku, na něž se mohou vztahovat omezení, pokud jsou osobní údaje zpracovávány pro účely vědeckého výzkumu. Sbor uvádí příklady, které vysvětlují, kdy lze mít za to, že právo na výmaz pravděpodobně znemožní nebo vážně ohrozí cíl provádění vědeckého výzkumu. EDPB rovněž vysvětluje, kdy mohou správci zamítnout námitku fyzických osob proti zpracování jejich osobních údajů pro účely vědeckého výzkumu. Tak tomu může být v případě, kdy je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.
Sbor připomíná, že pokud je do zpracování osobních údajů pro účely vědeckého výzkumu zapojeno několik subjektů, je nezbytné posoudit a zdokumentovat, jak jsou mezi tyto subjekty rozděleny povinnosti. V tomto ohledu poskytují pokyny užitečné příklady, které objasňují, v jakých situacích mohou být subjekty považovány za správce, společné správce nebo zpracovatele.
V neposlední řadě Sbor vysvětluje, jak mohou správci při zpracování osobních údajů pro účely vědeckého výzkumu posoudit vhodná technická a organizační opatření jako je anonymizace nebo pseudonymizace. EDPB uvádí příklady dalších záruk, které by mohly být zavedeny v závislosti na rizicích představujících prováděné výzkumné činnosti. Patří mezi ně nezávislý nebo etický dohled, bezpečné zpracovatelské prostředí, technologie zvyšující ochranu soukromí, ochranná opatření pro zveřejňování výsledků výzkumu, ujednání o důvěrnosti a podmínky pro další použití.
Pokyny budou do 25. června předmětem veřejné konzultace, která zúčastněným stranám poskytne příležitost vyjádřit se a poskytnout zpětnou vazbu.
Aby se urychlilo dokončení připravovaných pokynů pro anonymizaci, vytvořila rada specializovaný „sprint tým“, který dokončí práci do léta.
EDPB přijal stanovisko schvalující aktualizovaný soubor kritérií pro vydávání osvědčení Europrivacy jako evropskou pečeť ochrany údajů podle čl. 42 odst. 5 GDPR. Sbor poprvé schválil kritéria pro vydávání osvědčení Europrivacy dne 10. října 2022 jako první evropskou pečeť ochrany údajů dle stanoviska EDPB 28/2022. Oblast působnosti systému vydávání osvědčení Europrivacy byla rozšířena tak, aby zahrnovala správce a zpracovatele usazené mimo Evropu, na které se vztahuje čl. 3 odst. 2 GDPR, a to buď proto, že poskytují zboží nebo služby jednotlivcům v Evropě, nebo proto, že sledují jejich chování.
Kromě toho sbor poprvé přijal stanovisko, v němž uznal kritéria pro vydávání osvědčení Europrivacy jako evropskou pečeť ochrany údajů, která se má používat jako nástroj pro předávání údajů v souladu s články 42 a 46 GDPR. Importéři údajů mimo Evropu, na které se nevztahuje GDPR, mohou nyní požádat systém certifikace Europrivacy o předání údajů, které obdrží. Tato certifikace usnadní splnění povinnosti správců a zpracovatelů v Evropě prokázat, že poskytují vhodné záruky pro předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
Tato přijatá opatření dále objasňují certifikační mechanismy podle GDPR a potvrzují jejich klíčovou úlohu jako nástroje pro dodržování GDPR.
Evropská pečeť ochrany údajů je certifikační mechanismus podle GDPR uznávaný v celé EU. Pečeť musí splňovat zvláštní kritéria schválená EDPB a musí být udělena subjektem pro vydávání osvědčení akreditovaným podle článku 43 GDPR k prokázání souladu s jeho standardy.
Kompletní pokyny pro zpracování osobních údajů pro účely vědeckého výzkumu si stáhnete zde.