EDPB: Sekundarna uporaba podatkov
EDPB je izvedel študijo sekundarne uporabo osebnih podatkov v okviru znanstvenih raziskav s pregledom mednarodnih sporazumov, zakonodaje in praks Evropske unije in držav članic. Izpostavlja glavne izzive, ki zahtevajo dodatne smernice in usklajevanje nadzornih organov.
Poročilo je bilo objavljeno 3.4.2025
Metodologijo so sestavljale teoretične raziskave, dopolnjene z odgovori na vprašalnike o nacionalni zakonodaji, prejetimi od akademskih raziskovalcev z ustreznim strokovnim znanjem. Skupaj je študija pridobila podatke o 18 od 30 ciljnih držav članic EU in Evropskega gospodarskega prostora (EGP). Analiza zakonodaje ni bila omejena na GDPR, ampak je vključevala mednarodne sporazume ali dokumente, ki vsebujejo pravila o varstvu podatkov (kot je Konvencija Sveta Evrope) in etične standarde (kot je Helsinška deklaracija Svetovnega zdravniškega združenja (WMA) in sektorski pravni okviri EU (npr. o kliničnih preskušanjih, biobankah). Analiza teh različnih pravnih besedil in njihova uporaba v pregledanih državah članicah je pokazala naslednje:
Za sekundarno uporabo osebnih podatkov za znanstvene raziskave veljata dva glavna mednarodna okvira: pravila o varstvu podatkov in različni etični standardi. Upravljavec podatkov, ki izvaja sekundarno uporabo osebnih podatkov, mora oboje upoštevati in dosledno uporabljati.
Pojem „znanstvene raziskave“ ni izrecno opredeljen v GDPR, čeprav so nekateri elementi navedeni v njenih uvodnih izjavah. Nekaj pregledanih držav zagotavlja splošno opredelitev v svoji nacionalni zakonodaji. Izbira možne pravne podlage in najustreznejšega pogoja, ki bi lahko omogočil obdelavo posebnih kategorij podatkov (npr. zdravstvenih podatkov), v skladu z 9. členom GDPR za izvajanje znanstvenih raziskav, je zahtevna naloga, zlasti pri mednarodnih raziskavah. Države članice imajo pogosto različne razlage, pri čemer nekatere še vedno zahtevajo soglasje, kljub stališču Evropskega odbora za varstvo podatkov in Evropske komisije o kliničnih preskušanjih.
„Sekundarna uporaba“ je uveljavljen izraz v zakonodaji EU o varstvu podatkov. Lahko se nanaša na nadaljnjo združljivo ali nezdružljivo obdelavo. Na institucionalni, nacionalni in znanstveni ravni obstajajo različni pogledi na to, ali je za sekundarno uporabo osebnih podatkov potrebna nova pravna podlaga. Študija je zaključila, da je za sekundarno uporabo v znanstvenoraziskovalne namene potrebna pravna podlaga – ta je lahko enaka tisti za primarno uporabo ali pa mora obstajati ločena pravna podlaga.
Sekundarna uporaba osebnih podatkov lahko vpliva na pravice posameznikov. Ključno vprašanje pri tem je, kako se pravila o obdelavi osebnih podatkov, ki ne zahteva identifikacije (11. člen GDPR), prekrivajo z obveznostjo preglednosti in pravico do informiranosti posameznikov. Na splošno je priporočljivo, da se obveznost preglednosti izpolni s pomočjo prvotnega upravljavca podatkov (s pogodbenimi obvezami).
Rezultati niso pokazali enotnega pristopa/razlage držav članic o ključnih vidikih, povezanih s sekundarno uporabo osebnih podatkov za znanstvene raziskave. Lahko bi razlikovali med izzivi, ki jih povzroča pomanjkanje enotnosti pri razlagi ključnih elementov GDPR, in izzivi, ki jih povzročajo razlike pri izvajanju GDPR v državah članicah. Študija zato priporoča spodbujanje okrepljenega dialoga med nadzornimi organi držav članic (SA) in izmenjavo informacij o nacionalnih praksah in razlagah ter izboljšano sodelovanje med nadzornimi organi, evropskimi institucijami in organi ter ključnimi deležniki.
Celotno poročilo je dostopno tukaj
Vir: EDPB
Naslovna slika: RawPixel
