EDPB Approves Europrivacy as First European Data Protection Seal, Issues Scientific Research Guidelines

Slovensky > Aktuality > EDPB schválil prvú európsku pečať ochrany údajov EDPB objasňuje spracúvanie údajov na účely vedeckého výskumu a schvaľuje prvú európsku pečať ochrany údajov ako nástroj na prenos údajov

Brusel, 16. apríla – Na svojom poslednom plenárnom zasadnutí prijal EDPB usmernenia k spracúvaniu osobných údajov na účely vedeckého výskumu. Okrem toho výbor prijal dve stanoviská k certifikačným kritériám Europrivacy na účely schválenia ako európskej pečate ochrany údajov a ako nástroja na prenos údajov.

Mnohé oblasti vedeckého výskumu sa spoliehajú na spracúvanie osobných údajov jednotlivcov, čo viedlo k významným vedeckým objavom, ktoré prinášajú prospech spoločnosti, najmä v oblasti lekárskych vied. Rozmach nových technológií, ako je umelá inteligencia, tiež prispieva k vedeckému pokroku tým, že umožňuje výskumníkom využívať a analyzovať údaje inovatívnymi spôsobmi.

Hlavným cieľom usmernení EDPB k vedeckému výskumu je poskytnúť výskumníkom väčšiu jasnosť a uľahčiť dodržiavanie GDPR, pričom sa zároveň zaberpečí ochrana základných práv jednotlivcov.

„Vedecký výskum môže byť hnacou silou spoločenského pokroku a prispievať k zlepšeniu nášho každodenného života.

Naše usmernenia uľahčujú inovatívny výskum tým, že pomáhajú výskumníkom orientovať sa v nariadení GDPR.

EDPB sa zaväzuje podporovať vedeckú komunitu a naplno rozvinúť potenciál vedeckého výskumu v EÚ pri súčasnom dodržiavaní práv na ochranu údajov.“

Predsedníčka EDPB, Anu Talus

Vo svojich usmerneniach výbor poskytuje vysvetlenia k pojmu „vedecký výskum“. Na určenie, či sa spracúvanie uskutočňuje na účely vedeckého výskumu v zmysle GDPR, výbor uvádza šesť kľúčových indikatívnych faktorov, ktoré by sa mali zohľadniť okrem povahy, rozsahu, kontextu a účelov spracúvania. Tými sú: 1) metodický a systematický prístup, 2) dodržiavanie etických noriem, 3) overiteľnosť a transparentnosť, 4) autonómia a nezávislosť, 5) ciele výskumu a 6) potenciál prispieť k existujúcim vedeckým poznatkom alebo uplatniť existujúce poznatky novými spôsobmi. Ak výskumné činnosti spĺňajú týchto šesť faktorov, možno predpokladať, že predstavujú vedecký výskum. V opačnom prípade by prevádzkovateľ mal odôvodniť a byť schopný preukázať, prečo by sa tieto činnosti mali považovať za vedecký výskum v zmysle GDPR.

Ďalšie spracúvanie na účely vedeckého výskumu sa považuje za zlučiteľné s pôvodným účelom zberu osobných údajov fyzických osôb. Prevádzkovatelia preto nie sú povinní vykonávať test zlučiteľnosti účelov podľa GDPR s cieľom určiť, či je nové spracúvanie zlučiteľné s pôvodným účelom zberu. Prevádzkovatelia sa však aj naďalej musia uistiť, že právny základ pôvodného spracúvania je vhodný aj pre ďalšie spracúvanie osobných údajov na účely vedeckého výskumu.

Prevádzkovatelia sa môžu opierať o „všeobecný súhlas “, ak nie sú účely výskumu v čase zberu osobných údajov úplne známe. V takomto prípade by vedci mali rešpektovať etické normy pre vedecký výskum a zaviesť dodatočné záruky, ktoré nahradia chýbajúce špecifikovanie účelov. Prevádzkovatelia môžu tiež požiadať dotknuté osoby, aby k jednotlivým výskumným projektom vyjadrili súhlasili osobitne, a to hneď, ako budú účely týchto projektov známe (dynamický súhlas). Je možná aj kombinácia všeobecného a dynamického súhlasu.

EDPB okrem toho objasňuje práva fyzických osôb v prípadoch, keď sa ich osobné údaje spracúvajú na vedecké účely. Patrí sem právo na výmaz a právo namietať, na ktoré sa môžu vzťahovať obmedzenia, ak sa osobné údaje spracúvajú na účely vedeckého výskumu. Výbor uvádza príklady, ktoré vysvetľujú, kedy možno usúdiť, že uplatnenie práva na výmaz by pravdepodobne znemožnilo alebo vážne ohrozilo dosiahnutie cieľa vedeckého výskumu. EDPB tiež vysvetľuje, kedy môžu prevádzkovatelia zamietnuť námietku fyzickej osoby proti spracúvaniu jej osobných údajov na účely vedeckého výskumu. Tak tomu môže byť v prípade, ak je spracúvanie nevyhnutné na plnenie úlohy vykonávanej z dôvodov verejného záujmu.

Výbor pripomína, že ak sa na spracúvaní osobných údajov na účely vedeckého výskumu podieľa viacero subjektov, je potrebné posúdiť a zdokumentovať, ako sú medzi nimi rozdelené zodpovednosti. V tejto súvislosti usmernenia poskytujú užitočné príklady, ktoré objasňujú, v akých situáciách sa subjekty môžu považovať za prevádzkovateľov, spoločných prevádzkovateľov alebo sprostredkovateľov.

Na záver výbor vysvetľuje, ako môžu prevádzkovatelia posúdiť vhodné technické a organizačné opatrenia, ako je anonymizácia alebo pseudonymizácia, pri spracúvaní osobných údajov na účely vedeckého výskumu. EDPB uvádza príklady ďalších záruk, ktoré by sa mohli zaviesť v závislosti od rizík vyplývajúcich z vykonávaných výskumných činností. Patria medzi ne nezávislý alebo etický dohľad, bezpečné prostredia na spracúvanie, technológie na posilnenie ochrany súkromia, ochranné opatrenia pri zverejňovaní výsledkov výskumu, dohody o dôvernosti a podmienky ďalšieho používania.

Usmernenia budú do 25. júna premetom verejnej konzultácie, čím sa zainteresovaným stranám poskytne príležitosť poskytnúť pripomienky a spätnú väzbu.

“Šprintérsky tím” na dokončenie práce týkajúcej sa anonymizácie

S cieľom urýchliť dokončenie pripravovaných usmernení k anonymizácii vytvoril výbor špecializovaný “šprintérsky tím”, ktorý prácu dokončí do leta.

Stanoviská k Europrivacy

EDPB prijal stanovisko, ktorým schvaľuje aktualizovaný súbor certifikačných kritérií Europrivacy ako európsku pečať ochrany údajov* v súlade s článkom 42 ods. 5 GDPR. Výbor prvýkrát schválil certifikačné kritériá Europrivacy 10. októbra 2022 ako prvú európsku pečať ochrany údajov prostredníctvom stanoviska EDPB 28/2022. Rozsah certifikačnej schémy Europrivacy bol rozšírený tak, aby zahŕňal prevádzkovateľov a sprostredkovateľov so sídlom mimo Európy, na ktorých sa vzťahuje článok 3 ods. 2 GDPR, buď preto, že poskytujú tovary alebo služby fyzickým osobám v Európe, alebo preto, že sledujú ich správanie.

Okrem toho výbor prvýkrát prijal stanovisko, v ktorom uznáva certifikačné kritériá Europrivacy ako európsku pečať na ochranu údajov, ktorá sa má používať ako nástroj na prenosy v súlade s článkami 42 a 46 GDPR. Certifikačnú schému Europrivacy môžu teraz používať dovozcovia údajov mimo Európy na preukázanie toho, že prijímajú primerané záruky pre prenosy osobných údajov do tretích krajín alebo medzinárodných organizácií.

Tieto schválenia vnášajú viac svetla do certifikačných mechanizmov GDPR a potvrdzujú ich kľúčovú úlohu ako nástroja na zabezpečenie súladu s GDPR.

Poznámka pre redaktorov

*Európska pečať ochrany údajov je certifikačný mechanizmus v súlade s nariadením GDPR, uznávaný v celej Európe. Pečať musí spĺňať konkrétne kritériá schválené Európskym výborom pre ochranu údajov (EDPB) a musí ju udeliť certifikačný orgán akreditovaný podľa článku 43 nariadenia GDPR, aby potvrdil súlad s normami GDPR.