Bruxelles, 16. travnja – Na svojoj posljednjoj plenarnoj sjednici EDPB je usvojio Smjernice o obradi osobnih podataka u svrhe znanstvenog istraživanja. Osim toga, Odbor je uspostavio tim kako bi ubrzao dovršetak smjernica o anonimizaciji. EDPB je također usvojio dva mišljenja o dvama skupovima kriterija za certifikaciju Europrivacy radi njihova odobravanja kao europskih pečata za zaštitu podataka, pri čemu će se jedan od njih koristiti i kao alat za prijenose podataka. Europski pečat za zaštitu podataka mehanizam je certificiranja u skladu s GDPR-om koji je priznat u cijeloj Europi. Pečat mora ispunjavati posebne kriterije koje odobrava EDPB te ga mora dodijeliti certifikacijsko tijelo akreditirano u skladu s člankom 43. GDPR-a, kako bi se dokazala usklađenost sa standardima GDPR-a.
Mnoga područja znanstvenog istraživanja oslanjaju se na obradu osobnih podataka pojedinaca, a to je potaknulo značajne znanstvene iskorake koji koriste društvu. Razvoj novih tehnologija, poput umjetne inteligencije, također doprinosi znanstvenom napretku jer istraživačima omogućuje uporabu i analizu podataka na inovativne načine.
Glavni je cilj smjernica EDPB-a o znanstvenim istraživanjima pružiti veću jasnoću istraživačima i olakšati usklađenost s GDPR-om, uz istodobno osiguravanje zaštite temeljnih prava pojedinaca.
U svojim smjernicama Odbor daje pojašnjenja o pojmu „znanstveno istraživanje”. Kako bi se utvrdilo odvija li se obrada u svrhe znanstvenog istraživanja u smislu GDPR-a, Odbor navodi šest ključnih indikativnih čimbenika koje treba uzeti u obzir, uz narav, opseg, kontekst i svrhe obrade. To su: 1) metodičan i sustavan pristup, 2) poštovanje etičkih standarda, 3) provjerljivost i transparentnost, 4) autonomija i neovisnost, 5) ciljevi istraživanja i 6) potencijal doprinošenja postojećem znanstvenom znanju ili primjene postojećeg znanja na nove načine. Ako istraživačke aktivnosti ispunjavaju tih šest čimbenika, može se pretpostaviti da predstavljaju znanstveno istraživanje. U protivnom, voditelj obrade treba obrazložiti i moći dokazati zašto bi se te aktivnosti trebale smatrati znanstvenim istraživanjem u smislu GDPR-a.
Daljnja obrada u svrhe znanstvenog istraživanja smatra se usklađenom s početnom svrhom prikupljanja osobnih podataka pojedinaca. Stoga voditelji obrade nisu obvezni provoditi test usklađenosti svrhe iz GDPR-a kako bi utvrdili je li nova obrada usklađena s izvornom svrhom prikupljanja. Međutim, voditelji obrade i dalje moraju osigurati da je pravna osnova početne obrade prikladna i za daljnju obradu osobnih podataka u svrhe znanstvenog istraživanja.
Voditelji obrade mogu se osloniti na „široku privolu” kada svrhe istraživanja nisu u potpunosti poznate u trenutku prikupljanja osobnih podataka. U tom slučaju istraživači trebaju poštovati etičke standarde znanstvenog istraživanja i uspostaviti dodatne zaštitne mjere kako bi nadoknadili nedostatak preciznog određivanja svrhe. Voditelji obrade također mogu zatražiti od pojedinaca privolu zasebno za različite pojedinačne istraživačke projekte čim svrhe tih projekata postanu poznate (dinamička privola). Moguća je i kombinacija široke i dinamičke privole.
Osim toga, EDPB pojašnjava prava pojedinaca kada se njihovi osobni podaci obrađuju u znanstvene svrhe. To uključuje pravo na brisanje i pravo na prigovor, za koja mogu postojati ograničenja kada se osobni podaci obrađuju u svrhe znanstvenog istraživanja. Odbor daje primjere kako bi objasnio kada se pravo na brisanje može smatrati vjerojatnim da bi onemogućilo ili ozbiljno otežalo ostvarenje cilja provođenja znanstvenog istraživanja. EDPB također pojašnjava kada voditelji obrade mogu odbiti prigovor pojedinca na obradu njegovih osobnih podataka u svrhe znanstvenog istraživanja. To može biti slučaj kada je obrada nužna za izvršavanje zadaće koja se provodi iz razloga javnog interesa.
Odbor podsjeća da je, kada je više subjekata uključeno u obradu osobnih podataka u svrhe znanstvenog istraživanja, potrebno procijeniti i dokumentirati kako su odgovornosti raspodijeljene među tim subjektima. U tom pogledu Smjernice pružaju korisne primjere radi pojašnjenja u kojim situacijama subjekti mogu imati svojstvo voditelja obrade, zajedničkih voditelja obrade ili izvršitelja obrade.
Naposljetku, Odbor objašnjava kako voditelji obrade mogu procijeniti odgovarajuće tehničke i organizacijske mjere, poput anonimizacije ili pseudonimizacije, pri obradi osobnih podataka u svrhe znanstvenog istraživanja. EDPB navodi primjere drugih zaštitnih mjera koje se mogu provesti ovisno o rizicima koje istraživačke aktivnosti predstavljaju. One uključuju neovisni ili etički nadzor, sigurna okruženja za obradu, tehnologije za unaprjeđenje privatnosti, zaštitne mjere pri objavi rezultata istraživanja, aranžmane povjerljivosti i uvjete za daljnju uporabu.
Smjernice će biti predmet javnog savjetovanja do 25. lipnja, čime se dionicima pruža mogućnost da dostave komentare i povratne informacije.
„Sprint tim” za dovršetak rada na anonimizaciji
Kako bi ubrzao dovršetak nadolazećih smjernica o anonimizaciji, Odbor je uspostavio poseban „sprint tim” koji će dovršiti rad do ljeta.
Mišljenja o Europrivacyju
EDPB je usvojio Mišljenje kojim se odobrava ažurirani skup kriterija za certifikaciju Europrivacy kao europski pečat za zaštitu podataka u skladu s člankom 42. stavkom 5. GDPR-a. Odbor je kriterije za certifikaciju Europrivacy prvi put odobrio 10. listopada 2022. kao prvi europski pečat za zaštitu podataka putem Mišljenja EDPB-a 28/2022. Područje primjene certifikacijskog sustava Europrivacy prošireno je kako bi uključilo voditelje obrade i izvršitelje obrade s poslovnim nastanom izvan Europe na koje se primjenjuje članak 3. stavak 2. GDPR-a, bilo zato što nude robu ili usluge pojedincima u Europi bilo zato što prate njihovo ponašanje.
Osim toga, Odbor je po prvi put usvojio Mišljenje kojim se kriteriji za certifikaciju Europrivacy priznaju kao europski pečat za zaštitu podataka koji se može koristiti kao alat za prijenose u skladu s člancima 42. i 46. GDPR-a. Uvoznici podataka izvan Europe koji ne podliježu GDPR-u sada se mogu prijaviti u certifikacijski sustav Europrivacy za prijenose podataka koje primaju. Ova će certifikacija olakšati ispunjavanje obveze voditelja obrade i izvršitelja obrade u Europi da dokažu kako osiguravaju odgovarajuće zaštitne mjere za prijenose osobnih podataka u treće zemlje ili međunarodne organizacije.
Ova odobrenja dodatno pojašnjavaju mehanizme certificiranja iz GDPR-a i potvrđuju njihovu ključnu ulogu kao alata za usklađenost s GDPR-om.
