EDPB Guidelines on Lawful Personal Data Processing in Scientific Research

17.04.2026

Evropski odbor za varstvo podatkov (EDPB) je na plenarnem zasedanju 15. aprila 2026 sprejel smernice, ki pojasnjujejo uporabo Splošne uredbe o varstvu podatkov (GDPR) pri obdelavi osebnih podatkov za namene znanstvenega raziskovanja. Smernice so nastale kot odgovor na vprašanja iz prakse in ponujajo usmeritve raziskovalnim organizacijam in drugim organizacijam, ki se srečujejo s področjem znanstvenega raziskovanja.

EDPB poudarja, da nove tehnologije, vključno z razvojem umetne inteligence, omogočajo analize, ki še pred nekaj leti niso bile izvedljive. Hkrati lahko takšne obdelave povečajo tveganja za temeljne pravice posameznikov. Smernice tako predstavljajo okvir za podporo raziskavam, ki bodo temeljile na odgovorni, sorazmerni in varni obdelavi osebnih podatkov.

Za raziskovalne organizacije v praksi to pomeni, da bo treba že pri načrtovanju projektov jasno dokumentirati namen obdelave, pravno podlago ter ključne varovalke.

Kaj smernice konkretno pojasnjujejo

Smernice podrobneje razlagajo, kdaj se dejavnost šteje za »znanstveno raziskovanje« v smislu GDPR. Pojasnjujejo tudi, katere okoliščine so pri tem pomembne. Dokument navaja šest indikativnih dejavnikov, ki pomagajo presoditi, ali se dejavnost šteje za znanstveno raziskovanje v smislu GDPR. Če projekt izpolnjuje te dejavnike, se šteje, da gre za znanstveno raziskovanje v smislu GDPR.

Posebej obravnavajo tudi nadaljnjo obdelavo osebnih podatkov za znanstvenoraziskovalne namene. Ta je praviloma domnevno združljiva s prvotnim namenom zbiranja, vendar morajo upravljavci še vedno preveriti, ali zakonska podlaga, ki je veljala za prvotno obdelavo, ustrezna tudi za obdelavo osebnih podatkov za znanstveno raziskovanje.

Pravne podlage in privolitev: kaj naj raziskovalne organizacije preverijo

Pomemben del smernic je namenjen pravnim podlagam za obdelavo podatkov. Obravnavajo uporabo javnega interesa oziroma izvrševanja javne oblasti. Poudarjajo, da ta podlaga ni nujno omejena le na javne subjekte. Ustrezen pravni akt lahko zajema tudi dejavnosti zasebnih subjektov.

Smernice naslavljajo tudi zakoniti interes. Pri tem izpostavijo vlogo »pristnega« znanstvenega raziskovanja pri tehtanju interesov.

Pri privolitvi izpostavijo primere, ko ob začetku zbiranja niso znani vsi podrobni cilji raziskave. V takih primerih smernice omenjajo možnost:

• širše privolitve (angl. broad consent), ob dodatnih varovalkah in etičnih standardih,
• dinamične privolitve (angl. dynamic consent), pri kateri se naknadno prosi za privolitev za posamezne projekte ali njihove dele.

Posebne vrste osebnih podatkov, pravice posameznikov in vloge udeleženih subjektov

Posebno pozornost smernice namenjajo obdelavi posebnih vrst osebnih podatkov, na primer zdravstvenih. Poudarjajo, da mora takšna obdelava temeljiti na ustreznih pravnih podlagah in varovalnih ukrepih.

Pri dolgoročnih obdelavah in kompleksnejših raziskovalnih verigah izpostavljajo zahteve glede transparentnosti skozi celotno obdobje obdelave. Pojasnjujejo tudi posebnosti uveljavljanja pravic posameznikov v raziskovalnem kontekstu, kot na primer pravico do izbrisa in pravico do ugovora.

Ob sodelovanju več institucij pa opozarjajo na pomen jasne in dokumentirane razmejitve odgovornosti. To je posebej pomembno v konzorcijih in javno-zasebnih partnerstvih.

Varovalke: minimizacija, anonimizacija, psevdonimizacija in varna okolja

Med ključnimi varovalkami smernice navajajo:

• minimizacijo,
• uporabo anonimizacije ali psevdonimizacije, kjer je to mogoče,
• varna okolja obdelave, ki vključujejo tehnične in organizacijske ukrepe, prilagojene tveganjem. Smernice EDPB prinašajo bolj jasen okvir za raziskovalne organizacije in projekte, ki obdelujejo osebne podatke. Cilj je omogočati znanstveni napredek. Ob tem pa je treba dosledno varovati temeljne pravice posameznic in posameznikov ter krepiti zaupanje v raziskovalne prakse.