EDPB o znanstvenih raziskavah, anonimizaciji …
Na zadnjem plenarnem zasedanju je EDPB sprejel Smernice o obdelavi osebnih podatkov za namene znanstvenih raziskav. Odbor je poleg tega ustanovil skupino za pospešitev zaključka smernic o anonimizaciji. EDPB je sprejel tudi dve mnenji o dveh sklopih certifikacijskih meril Europrivacy za odobritev kot evropskih oznak za varstvo podatkov, pri čemer bo ena uporabljena kot orodje za prenose.
Številna področja znanstvenih raziskav se opirajo na obdelavo osebnih podatkov posameznikov, kar je pripeljalo do pomembnih znanstvenih prebojev v korist družbe. Vzpon novih tehnologij, kot je umetna inteligenca, prav tako prispeva k znanstvenemu napredku, saj raziskovalcem omogoča uporabo in analizo podatkov na inovativne načine.
Poglavitni cilj smernic EDPB o znanstvenih raziskavah je zagotoviti več jasnosti za raziskovalce in olajšati skladnost z GDPR ob hkratnem varstvu temeljnih pravic posameznikov.
„Znanstvene raziskave lahko spodbujajo družbeni napredek in izboljšajo naš vsakdan. Naše smernice olajšujejo inovativne raziskave tako, da raziskovalcem pomagajo pri orientaciji v GDPR.
EDPB je zavezan podpori znanstveni skupnosti in sprostitvi celotnega potenciala znanstvenih raziskav v EU ob spoštovanju pravic varstva podatkov.”
Predsednica EDPB, Anu Talus
V smernicah Odbor pojasnjuje pojem „znanstvena raziskava”. Za presojo, ali obdelava poteka za namene znanstvenih raziskav v smislu GDPR, Odbor poleg narave, obsega, okoliščin in namenov obdelave navaja šest okvirnih dejavnikov:
- metodični in sistematični pristop
- spoštovanje etičnih standardov
- preverljivost in preglednost
- avtonomija in neodvisnost
- cilji raziskave
- zmožnost prispevka k obstoječemu znanstvenemu znanju ali uporaba obstoječega znanja na nove načine
Če raziskovalne dejavnosti izpolnjujejo teh šest dejavnikov, se lahko domneva, da predstavljajo znanstveno raziskavo. V nasprotnem primeru mora upravljavec utemeljiti in dokazati, zakaj naj bi dejavnosti šteli za znanstveno raziskavo v smislu GDPR.
Za nadaljnjo obdelavo za namene znanstvenih raziskav se domneva, da je združljiva s prvotnim namenom zbiranja osebnih podatkov posameznikov. Upravljavcem zato ni treba opraviti preizkusa združljivosti namenov po GDPR za ugotovitev, ali je nova obdelava združljiva s prvotnim namenom zbiranja. Upravljavci pa morajo še vedno zagotoviti, da je pravna podlaga prvotne obdelave primerna tudi za nadaljnjo obdelavo osebnih podatkov za namene znanstvenih raziskav.
Upravljavci se lahko oprejo na „široko privolitev”, kadar nameni raziskav v času zbiranja osebnih podatkov niso v celoti znani. V takem primeru morajo raziskovalci spoštovati etične standarde znanstvenega raziskovanja in vzpostaviti dodatne zaščitne ukrepe, ki nadomestijo pomanjkanje natančne opredelitve namena. Upravljavci lahko od posameznikov zahtevajo tudi ločeno privolitev za posamezne raziskovalne projekte, takoj ko postanejo nameni teh projektov znani (dinamična privolitev). Mogoča je tudi kombinacija široke in dinamične privolitve.
EDPB pojasnjuje tudi pravice posameznikov, kadar se njihovi osebni podatki obdelujejo za znanstvene namene. Sem spadata pravica do izbrisa in pravica do ugovora, pri katerih se lahko uveljavijo omejitve, kadar se osebni podatki obdelujejo za namene znanstvenih raziskav. Odbor navaja primere, kdaj je mogoče šteti, da bi pravica do izbrisa onemogočila ali resno ogrozila cilj izvajanja znanstvene raziskave. EDPB pojasnjuje tudi, kdaj lahko upravljavci zavrnejo ugovor posameznika proti obdelavi njegovih osebnih podatkov za namene znanstvenih raziskav. To lahko velja, kadar je obdelava potrebna za opravljanje naloge v javnem interesu.
Odbor opozarja, da je pri obdelavi osebnih podatkov za namene znanstvenih raziskav, v katero je vključenih več subjektov, treba oceniti in dokumentirati razporeditev odgovornosti med subjekti. Smernice v zvezi s tem navajajo koristne primere, ki pojasnjujejo, v katerih položajih se subjekti lahko opredelijo kot upravljavci, skupni upravljavci ali obdelovalci.
Odbor na koncu pojasnjuje, kako lahko upravljavci ocenijo ustrezne tehnične in organizacijske ukrepe, kot sta anonimizacija ali psevdonimizacija, pri obdelavi osebnih podatkov za namene znanstvenih raziskav. EDPB navaja primere drugih zaščitnih ukrepov, ki jih je mogoče uvesti glede na tveganja raziskovalnih dejavnosti. Sem spadajo neodvisni ali etični nadzor, varna okolja za obdelavo, tehnologije za krepitev zasebnosti, zaščitni ukrepi pri objavi raziskovalnih rezultatov, dogovori o zaupnosti in pogoji za nadaljnjo uporabo.
Smernice bodo predmet javnega posvetovanja do 25. junija, kar deležnikom daje priložnost za pripombe in povratne informacije.
„Sprint skupina” za dokončanje dela na anonimizaciji
Za pospešitev zaključka prihajajočih smernic o anonimizaciji je Odbor ustanovil namensko „sprint skupino”, ki bo delo zaključila do poletja.
Mnenji o Europrivacy
EDPB je sprejel Mnenje, s katerim je odobril posodobljen sklop certifikacijskih meril Europrivacy kot evropsko oznako za varstvo podatkov na podlagi člena 42(5) GDPR. Odbor je certifikacijska merila Europrivacy prvič odobril 10. oktobra 2022 kot prvo evropsko oznako za varstvo podatkov z Mnenjem EDPB 28/2022. Obseg certifikacijske sheme Europrivacy je bil razširjen tako, da vključuje upravljavce in obdelovalce s sedežem izven Evrope, ki so zavezani členu 3(2) GDPR, bodisi ker ponujajo blago ali storitve posameznikom v Evropi bodisi ker spremljajo njihovo vedenje.
Odbor je prav tako prvič sprejel Mnenje, ki priznava certifikacijska merila Europrivacy kot evropsko oznako za varstvo podatkov, namenjeno uporabi kot orodje za prenose v skladu s členoma 42 in 46 GDPR. Uvozniki podatkov zunaj Evrope, ki niso zavezani GDPR, se zdaj lahko prijavijo v certifikacijsko shemo Europrivacy za prenose podatkov, ki jih prejemajo. Ta certifikacija bo upravljavcem in obdelovalcem v Evropi olajšala izpolnjevanje obveznosti, da dokažejo ustrezne zaščitne ukrepe za prenose osebnih podatkov v tretje države ali mednarodnim organizacijam.
