EROD: większa przejrzystość przetwarzania danych w badaniach naukowych, wytyczne ws. anonimizacji i silniejsza ochrona transferów danych
Podczas ostatniego posiedzenia plenarnego EROD przyjęła wytyczne dotyczące przetwarzania danych osobowych do celów badań naukowych. Ponadto Rada powołała zespół, którego zadaniem będzie przyspieszenie finalizacji wytycznych ws. anonimizacji. EROD przyjęła również dwie opinie dotyczące kryteriów certyfikacji Europrivacy, przeznaczonych do zatwierdzenia jako Europejskie Pieczęcie Ochrony Danych, z których jedna ma służyć jako narzędzie do transferów danych.
Wiele obszarów badań naukowych opiera się na przetwarzaniu danych osobowych, co zresztą pozwoliło na dokonanie znaczących przełomów naukowych przynoszących korzyści społeczeństwu. Dynamika rozwoju nowych technologii, takich jak sztuczna inteligencja, dodatkowo wsparła postęp naukowy, umożliwiając badaczom wykorzystywanie i analizowanie danych w innowacyjny sposób. Głównym celem wytycznych EROD dotyczących badań naukowych jest zapewnienie większej jasności dla badaczy i ułatwienie zgodności z RODO przy jednoczesnym zagwarantowaniu ochrony podstawowych praw jednostek.
–Badania naukowe mogą napędzać rozwój społeczny i poprawiać nasze codzienne życie. Nasze wytyczne ułatwiają prowadzenie innowacyjnych badań, pomagając naukowcom poruszać się po RODO. EROD jest zaangażowany we wspieranie społeczności naukowej i uwalnianie pełnego potencjału badań w UE przy jednoczesnym poszanowaniu praw w zakresie ochrony danych — zauważyła Przewodnicząca EROD, Anu Talus.
Czym są „badania naukowe w rozumieniu RODO?
W swoich wytycznych Rada doprecyzowuje pojęcie „badań naukowych”. Aby ustalić, czy proces przetwarzania mieści się w tej definicji, oprócz jego charakteru, zakresu, kontekstu i celów należy wziąć pod uwagę sześć kluczowych czynników, które wskazuje EROD w wytycznych: Są to:
- metodyczne i systematyczne podejście,
- przestrzeganie standardów etycznych,
- weryfikowalność i przejrzystość,
- autonomia i niezależność,
- cele badawcze,
- potencjał wniesienia wkładu w istniejącą wiedzę naukową lub zastosowania jej w nowy sposób.
Jeżeli działalność badawcza spełnia tych sześć czynników, można domniemywać, że stanowi badania naukowe. W przeciwnym razie administrator powinien uzasadnić i wykazać, dlaczego działalność ta powinna być uznana za badania naukowe w rozumieniu RODO. Dalsze przetwarzanie danych do celów badań naukowych uznaje się za zgodne z pierwotnym celem, dla którego dane zostały zebrane. Oznacza to, że administratorzy nie muszą przeprowadzać testu zgodności celu. Muszą jednak się upewnić, że podstawa prawna pierwotnego przetwarzania jest odpowiednia również do dalszego przetwarzania danych do celów badań naukowych.
Prawa i obowiązki osób, których dane są wykorzystywane w badaniach
Administratorzy mogą się opierać na „zgodzie ogólnej”, gdy cele badawcze nie są w pełni znane w momencie zbierania danych. W takim przypadku badacze powinni przestrzegać standardów etycznych i wdrożyć dodatkowe zabezpieczenia kompensujące brak precyzyjnego określenia celu. Możliwe jest również stosowanie zgody dynamicznej, czyli uzyskiwanie zgody na poszczególne projekty badawcze, kiedy ich cele staną się znane. Obie formy zgody mogą być łączone.
EROD doprecyzowuje także prawa osób, których dane dotyczą, gdy ich dane są przetwarzane do celów naukowych. Dotyczy to m.in. prawa do usunięcia danych i prawa do sprzeciwu, które mogą podlegać ograniczeniom, jeśli ich realizacja uniemożliwiłaby lub poważnie utrudniła prowadzenie badań. Rada podaje przykłady sytuacji, w których prawo do usunięcia danych mogłoby uniemożliwić realizację celu badawczego, oraz wyjaśnia, kiedy administrator może odrzucić sprzeciw — np. gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym. Rada przypomina, że kiedy w przetwarzaniu danych do celów badań naukowych uczestniczy kilka podmiotów, konieczne jest ocenienie i udokumentowanie podziału odpowiedzialności. Wytyczne zawierają przykłady ułatwiające ustalenie, kiedy podmioty są administratorami, współadministratorami lub podmiotami przetwarzającymi.
Wreszcie EROD wyjaśnia, jak administratorzy mogą ocenić odpowiednie środki techniczne i organizacyjne, takie jak anonimizacja lub pseudonimizacja, stosowane przy przetwarzaniu danych do celów badań naukowych. Podaje również przykłady innych zabezpieczeń, które mogą być wdrożone w zależności od ryzyka, m.in.: nadzór etyczny, bezpieczne środowiska przetwarzania, technologie zwiększające prywatność, środki ochrony przy publikacji wyników, zobowiązania do zachowania poufności oraz warunki dalszego wykorzystania danych.
Wytyczne będą poddane konsultacjom publicznym do 25 czerwca, co umożliwi interesariuszom zgłaszanie uwag.
Opinie dotyczące Europrivacy
EROD przyjęła opinię zatwierdzającą zaktualizowany zestaw kryteriów certyfikacji Europrivacy jako Europejską Pieczęć Ochrony Danych zgodnie z art. 42 ust. 5 RODO. Pierwsze zatwierdzenie odbyło się 10 października 2022 r. (Opinia EROD 28/2022). Zakres schematu certyfikacji został rozszerzony na administratorów i podmioty przetwarzające spoza Europy, którzy podlegają art. 3 ust. 2 RODO, ponieważ oferują towary lub usługi osobom w UE lub monitorują ich zachowanie.
Po raz pierwszy EROD przyjęła też opinię uznającą kryteria Europrivacy jako narzędzie do transferów danych zgodnie z art. 42 i 46 RODO. Oznacza to, że importerzy danych spoza Europy, którzy nie podlegają RODO, mogą się ubiegać o certyfikację Europrivacy w odniesieniu do transferów danych, które otrzymują. Certyfikacja ta ułatwi administratorom i podmiotom przetwarzającym w UE wykazanie, że zapewniają odpowiednie zabezpieczenia przy przekazywaniu danych do państw trzecich lub organizacji międzynarodowych.
Zatwierdzenia te dodatkowo podkreślają znaczenie mechanizmów certyfikacji RODO, potwierdzając ich kluczową rolę jako narzędzia zapewniającego zgodność.
„Sprint team” ds. anonimizacji
Aby przyspieszyć finalizację nadchodzących wytycznych dotyczących anonimizacji, Rada powołała zespół „sprintowy”, który zakończy prace do lata.
Źródło:
Komunikat Europejskiej Rady Ochrony Danych
