Changeflow GovPing Data Privacy & Cybersecurity EDPB Guidelines on Processing Personal Data for...
Priority review Consultation Added Consultation

EDPB Guidelines on Processing Personal Data for Scientific Research Purposes

Favicon for www.datatilsynet.no Norway Datatilsynet News
Detected
Email

Summary

The European Data Protection Board (EDPB) has published new guidelines on the processing of personal data for scientific research purposes, now open for public consultation until 25 June 2026. The guidelines address six key criteria for defining scientific research, clarify when researchers may rely on 'broad consent', and resolve the previously unsettled question of whether a compatibility assessment is required for further processing of personal data for scientific research purposes. The EDPB has also issued a separate opinion on the EU Digital Omnibus legislative proposal and its implications for scientific research under the GDPR.

“Retningslinjene lister opp seks nøkkelkriterier som skal være til hjelp i vurderingen av hva som faktisk utgjør «vitenskapelig forskning» og ikke.”

EDPB , verbatim from source
Why this matters

Research institutions, universities, and clinical trial sponsors should review the draft guidelines during the consultation period and consider submitting comments on provisions that create operational uncertainty, particularly the conditions for broad consent and the interaction between the scientific research exception and other GDPR obligations such as data subject rights and information requirements.

AI-drafted from the source document, validated against GovPing's analyst note standards . For the primary regulatory language, read the source document .
Published by EDPB on datatilsynet.no . Detected, standardized, and enriched by GovPing. Review our methodology and editorial standards .

About this source

GovPing monitors Norway Datatilsynet News for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 6 changes logged to date.

View original document View source feed page

What changed

The EDPB has issued new guidelines on personal data processing for scientific research purposes, addressing a gap in GDPR guidance that many research actors have found difficult to navigate. The guidelines establish six key criteria for determining what constitutes scientific research, clarify the conditions under which researchers may obtain and rely on 'broad consent' where the exact research purpose is not yet known at the time of data collection, and explicitly state that a compatibility assessment is not required when further processing personal data for scientific research purposes — provided the controller maintains a valid legal basis for such processing. The guidelines also cover security measures, data subjects' rights, information obligations, and role distribution.\n\nResearch institutions, clinical investigators, universities, and ethics committees should monitor the consultation closely and prepare to submit comments by the 25 June 2026 deadline. The guidelines, once finalised, will provide practical operational guidance for entities conducting scientific research involving personal data across the EU/EEA, and may influence how national data protection authorities interpret GDPR obligations in the research context.

What to do next

  1. Review the guidelines on EDPB's website (edpb.europa.eu)
  2. Submit comments by 25 June 2026

Archived snapshot

Apr 24, 2026

GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.

Retningslinjer om behandling av personopplysninger for forskningsformål

Personvernrådet ** (EDPB) har publisert nye retningslinjer om behandling av personopplysninger for vitenskapelige forskningsformål. Retningslinjene er nå ute på offentlig høring.

Vitenskapelig forskning medfører ofte behandling av store mengder personopplysninger. Personvernregelverket skal tilrettelegge for vitenskapelig forskning, som er et viktig mål i EU/EØS, samtidig som regelverket skal gi et godt personvern for deltakere i forskningsprosjekter.  Personvernforordningen inneholder derfor noen særlige regler for behandling av personopplysninger for slike formål.

Mange aktører i forskingsmiljøene opplever reglene i personvernforordningen som vanskelig tilgjengelig og at rolle- og ansvarfordelingen er uklar. Formålet med de nye retningslinjene er å gi mer klar og praktisk veiledning til forskere. Retningslinjene skal demonstrere mulighetsrommet i regelverket, samtidig som de skal gi veiledning om virksomhetenes plikter i forskningsprosjekter.

Retningslinjene gjelder alle typer vitenskapelig forskning.

Hva er vitenskapelig forskning?

Personvernforordningen gir generelt et større mulighetsrom for behandling av personopplysninger i vitenskapelig forskning enn for andre formål, for eksempel når det kommer til lagringstid og behandling av personopplysninger for nye formål. Forordningen definerer imidlertid ikke begrepet vitenskapelig forskning. Retningslinjene lister opp seks nøkkelkriterier som skal være til hjelp i vurderingen av hva som faktisk utgjør «vitenskapelig forskning» og ikke. Dersom samtlige kriterier er oppfylt, er det rimelig å anta at behandlingsaktivitetene er å betrakte som vitenskapelig forskning.

Forskere kan innhente et «bredt» samtykke

Personvernforordningen stiller flere krav til hva som skal til for at et samtykke skal være gyldig, deriblant at samtykket for behandlingen av personopplysninger må være spesifikt. I noen tilfeller vil det ikke være mulig å vite det eksakte formålet med den vitenskapelige forskningen på tidspunktet da innsamlingen av personopplysninger skjer. I disse tilfellene kan forskerne basere behandlingen på et såkalt «bredt» samtykke. Retningslinjene utdyper når og under hvilke forutsetninger forskere kan bruke brede samtykker som behandlingsgrunnlag.

Viderebehandling av personopplysninger for forskningsformål

I tråd med formålsbegrensningsprinsippet i personvernforordningen skal personopplysninger kun samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Opplysningene skal ikke viderebehandles på en måte som er uforenelig med disse formålene. Dersom en behandlingsansvarlig ønsker å gjenbruke personopplysningene til et nytt formål, må den som er behandlingsansvarlig i utgangspunktet gjennomføre en grundig forenelighetsvurdering etter artikkel 6 nr. 4 i personvernforordningen.

Ettersom vitenskapelig forskning er en viktig samfunnsinteresse, legger personvernforordningen opp til en mykere forståelse av formålsbegrensingsprinsippet når behandling av personopplysninger skjer for slike formål. Dersom viderebehandlingen av personopplysninger skjer for vitenskapelige forskningsformål, er det ikke nødvendig å gjøre en vurdering av forenelighet som nevnt over. Personvernrådet gjør det imidlertid klart at behandlingsansvarlig likevel må sørge for å ha et gyldig behandlingsgrunnlag også for viderebehandlingen. Dette har lenge vært et uavklart spørsmål og det er første gang Personvernrådet uttaler seg om dette direkte.

Retningslinjene inneholder også andre viktige avklaringer, blant annet om sikkerhetstiltak, de registrertes rettigheter, informasjonskrav og rollefordeling.

Ute på høring

Fristen for innspill er 25. juni. Etter høringen blir retningslinjene oppdatert.

Både retningslinjene, og informasjon om hvordan du gir innspill, er tilgjengelig på EDPBs nettsider (edpb.europa.eu).

EUs digitale omnibus og spørsmål knyttet til vitenskapelig forskning

EU-Kommisjonen har foreslått å endre deler av personvernforordningen i forbindelse med lovforslaget "EU Digital Omnibus". Flere av endringsforslagene gjelder vitenskapelig forskning. EU-Kommisjonen foreslår blant annet en definisjon på vitenskapelig forskning, som forordningen ikke har i dag. Videre foreslår Kommisjonen enkelte unntak for informasjonskravene og anerkjennelse av vitenskapelig forskning som en berettiget interesse. Personvernrådet har kommet med en egen uttalelse om lovforslaget, inkludert de foreslåtte endringene som gjelder vitenskapelig forskning.

Les hele uttalelsen fra Personvernrådet (edpb.europa.eu).

Les artikkelen vår som oppsummerer endringsforslagene.

Publisert: 24.04.2026

Relatert innhold

Named provisions

Scientific research definition Broad consent Further processing for research purposes Security measures Data subjects' rights Information obligations Role distribution

Mentioned entities

European Data Protection Board

Related changes

Favicon for www.cnpd.pt EDPB Adopts Scientific Research Data Processing Guidelines
Routine Apr 24, 2026 Portugal CNPD Government General
Favicon for www.edpb.europa.eu EDPB Stakeholder Event on Competition Law and Data Protection, April 23
Routine Apr 24, 2026 EDPB EU News Data Privacy & Cybersecurity
Favicon for www.datatilsynet.no Norwegian DPA Response on Immigration Law Audio-Visual Recording Proposal
Priority review Apr 24, 2026 Norway Datatilsynet News Data Privacy & Cybersecurity

Get daily alerts for Norway Datatilsynet News

Daily digest delivered to your inbox.

Free. Unsubscribe anytime.

Source

Favicon for www.datatilsynet.no
Norway Datatilsynet News datatilsynet.no/aktuelt
Data Privacy & Cybersecurity

About this page

What is GovPing?

Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission

What's from the agency?

Source document text, dates, docket IDs, and authority are extracted directly from EDPB.

What's AI-generated?

The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.

Last updated

Press inquiries →

Classification

Agency
EDPB
Comment period closes
June 25th, 2026 (62 days)
Compliance deadline
June 25th, 2026 (62 days)
Instrument
Consultation
Branch
International
Source language
no
Legal weight
Non-binding
Stage
Consultation
Change scope
Substantive

Who this affects

Applies to
Research institutions Healthcare providers Educational institutions
Industry sector
5417 Scientific Research
Activity scope
Research data processing Personal data protection Consent frameworks
Geographic scope
European Union EU

Taxonomy

Primary area
Data Privacy
Operational domain
Compliance
Compliance frameworks
GDPR
Topics
Healthcare Intellectual Property Public Health

Browse Categories

Agriculture & Food Safety 84 AI Regulation 3 Banking & Finance 499 Consumer Protection 141 Courts & Legal 635 Data Privacy & Cybersecurity 150 Defense & National Security 52 Education 64 Energy 138 Environment 170 Gaming 2 Government & Legislation 522 Healthcare 15 Healthcare & Life Sciences 401 Immigration 11 Insurance 90 Labor & Employment 193 Pharma & Drug Safety 21 Professional Licensing 6 Real Estate & Housing 76 Securities & Markets 175 Tax 116 Telecom & Technology 56 Trade & Sanctions 169 Transportation 129

Get alerts for this source

We'll email you when Norway Datatilsynet News publishes new changes.

Free. Unsubscribe anytime.

You're subscribed!