W kwietniu 2019 r. Konferencja niezależnych organów nadzorczych na poziomie krajowym oraz federalnym (zwana dalej DSK lub Konferencją) opublikowała uchwałę/decyzję w sprawie wykładni pojęcia „niektóre obszary badań naukowych”, o których mowa w motywie 33 RODO. Poniżej zamieszczono tłumaczenie uchwały DSK, której niemiecką wersję językową można znaleźć tutaj: https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/beschluesse-dsk/.
Pojęcie „niektóre obszary badań naukowych” zostało wspomniane w motywie 33, ale nie zostało bliżej zdefiniowane w Ogólnym Rozporządzeniu o Ochronie Danych (RODO).
Pozostaje ono w ścisłym związku merytorycznym z określeniem celu, który należy sformułować w przypadku wyrażania zgody. Zgodnie z art. 4 punkt 11 RODO zgoda musi być konkretna, świadoma oraz jednoznaczna. Wymóg konkretności doprecyzowuje zasadę ograniczenia celu w rozumieniu art. 5 ustęp 1 lit. b) RODO, zgodnie z którą dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach.
W swojej opinii WP259 wersja 01, Grupa Robocza Art. 29 wskazuje ponadto, że pojęcie „niektóre obszary badań naukowych” należy odróżnić od szerszego pojęcia „badań naukowych”, o którym mowa w art. 89 RODO. W tym ostatnim przypadku chodzi o obszar zastosowania badań naukowych, a nie o ograniczenie celu w ramach konkretnego przetwarzania danych. Natomiast pojęcie „niektórych obszarów badań naukowych” należy rozumieć w sposób węższy.
Wynika z tego co następuje: jedynie wtedy gdy konkretny projekt przedsięwzięcia naukowego nie pozwala na pełne określenie celu do momentu zebrania danych (porównaj motyw 33 zdanie 1), można na przykład zastosować ogólną zgodę. W takim przypadku zgoda poprzedzająca zebranie danych może być, przy zachowaniu ścisłych wymogów, ograniczona w odniesieniu do stopnia określoności celu.
Motyw 33 nie zwalnia z obowiązku wypracowania mechanizmów, dzięki którym wykorzystanie zebranych danych w przypadku projektów badawczych będzie jasno określone dla osób, których dane dotyczą. W szczególności nie zostanie uznane za zgodne z motywem 33 ogólne rozciągnięcie wykorzystania zebranych danych na niektóre obszary badawcze. Zasada świadomej zgody wymaga przynajmniej, aby oświadczenie zgody możliwie precyzyjnie określało każde przedsięwzięcie badawcze oraz towarzyszące mu konkretne środki ochronne.
W szczególnych przypadkach, w których zastosowanie ogólnej zgody zostanie uznane za konieczne do osiągnięcia celów badania, należy z tego powodu zastosować niżej wymienione środki zaradcze.
Służą one przejrzystości, budowaniu zaufania oraz bezpieczeństwu danych, tak aby zrekompensować abstrakcyjne określenie celów badania:
Dodatkowe środki ochronne w celu zapewnienia przejrzystości:
- zastosowanie regulaminu dostępnego dla osób, wyrażających zgodę lub dostępnego planu badań, które naświetlają planowane metody pracy oraz zagadnienia, które powinny być częścią badania;
- wypracowanie oraz udokumentowanie w odniesieniu do konkretnego projektu badawczego wyjaśnienia dlaczego w tym przypadku bliższe doprecyzowanie celu badania nie jest możliwe;
- zapewnienie obecności w Internecie, dzięki którym uczestnicy badania będą informowani o bieżących oraz przyszłych badaniach.
Dodatkowe środki ochronne w celu budowania zaufania:
- pozytywna opinia grupy ds. etyki przed wykorzystaniem do dalszych celów badawczych;
- sprawdzenie czy możliwe jest zastosowanie tzw. „dynamicznej zgody” względnie udzielenie możliwości wyrażenia sprzeciwu przed wykorzystaniem danych do nowych badań.
Dodatkowe gwarancje w celu zapewnienia bezpieczeństwa danych.
Wzmocnione gwarancje w odniesieniu do zebranych danych poprzez zastosowanie środków techniczno – organizacyjnych, takich jak:
- brak dalszego przekazania danych do państw trzecich, z niskim poziomem ochrony danych;
- szczególne zobowiązanie do zastosowania minimalizacji danych, szyfrowania, anonimizacji oraz pseudonimizacji;
- konkretne przepisy w celu ograniczenia dostępu do zebranych danych.
Wyniki audytu obejmującego przyczyny działania, jak również gwarancje zastosowania ww. środków bezpieczeństwa muszą być udokumentowane oraz przedłożone wraz z planem badania do zatwierdzenia przez osoby, zajmujące stanowiska właściwe w kwestiach etycznych oraz ochrony danych w przypadku przedsięwzięć badawczych.