Wytyczne EROD w sprawie covid-19 – czy za nośnymi hasłami idą nowe treści

• 30.04.2020

• Autor: Agnieszka Świerczyńska

• Analizy

Zapewnienie spójnego stosowania przepisów RODO jest podstawowym zadaniem Europejskiej Rady Ochrony Danych (EROD). W tym celu co pewien czas organ ten wydaje tzw. wytyczne. 21 kwietnia 2020 EROD przyjęła wytyczne w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID-19.

Dokument ten ma na celu raczej uporządkowanie i przypomnienie najważniejszych zasad związanych z przetwarzaniem danych osobowych w celach naukowych – niż wskazanie nowych rozwiązań.

Wyraźnie należy zaznaczyć, że wytyczne „nie skupiają się na przetwarzaniu danych osobowych w celu nadzoru epidemiologicznego” co zostało podkreślone już we wprowadzeniu do tego dokumentu.

Z lektury wynika, że ich celem jest usystematyzowanie kwestii związanych z:

• Podstawą prawną przetwarzania danych w celach naukowych.
• Wdrożeniem odpowiednich zabezpieczeń dla przetwarzania danych dotyczących zdrowia.
• Wykonywaniem praw osób, których dane dotyczą.

Organ wskazuje, że walka z pandemią nie musi oznaczać przetwarzania danych osobowych niezgodnie z RODO. W samym rozporządzeniu jednym z  wyjątków od zakazu przetwarzania szczególnych kategorii danych osobowych, w tym  danych dotyczących zdrowia, jest  niezbędność do celów badań naukowych.

Przetwarzanie danych jest zgodne z prawem, gdy odbywa się na podstawie ważnych podstaw prawnych.  W przypadku danych dotyczących stanu zdrowia poza zgodą (art. 9 ust. 2 lit a RODO), EROD przypomina o podstawie z art. 9 ust 2 lit j) – gdzie wprost wskazane jest przetwarzanie danych do celów naukowych oraz z art. 9 ust. 2 lit i) – zgodnie z którym przetwarzanie tych danych jest dopuszczalne, jeśli jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego.

Istotne jest, że zarówno UE, jak i państwa członkowskie mogą wprowadzić szczegółowe przepisy prawne zgodnie z art. 9 ust. 2 lit. j) lub art. 9 ust. 2 lit. i) RODO, aby zapewnić podstawę prawną przetwarzania danych dotyczących zdrowia do celów badań naukowych. Tym samym zasady przetwarzania danych mogą różnić się w zależności od krajowego ustawodawstwa poszczególnych państw członkowskich.

EROD przypomniał również o zasadach przetwarzania ochrony danych w tym o :

• Przejrzystości i informowaniu osób, których dane dotyczą – czyli konieczności spełnienia obowiązku informacyjnego zgodnie z art. 13 albo 14 RODO (w zależności od tego czy dane uzyskaliśmy bezpośrednio od podmiotu danych czy z innego źródła). Organ odniósł się również do odstępstw od spełnienia tego obowiązku wskazując przykłady sytuacji, w których może to mieć zastosowanie.
• Ograniczeniu celu i domniemaniu zgodności – wskazując, że dalsze przetwarzanie w celach naukowych nie jest niezgodne z pierwotnym celem. Zastrzegł jednak, że „Temat ten, ze względu na jego horyzontalny i złożony charakter zostanie bardziej szczegółowo omówiony w planowanych wytycznych EROD w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych.”.
• Minimalizacji danych i ograniczeniu przechowywania – podnosząc, że tam gdzie to możliwe należy zastosować prowadzenie badań naukowych w oparciu o dane zanonimizowane oraz podkreślając niezbędność ustalenia okresów przechowywania danych.
• Integralności i poufności – przypominając, że przetwarzanie danych dotyczących stanu zdrowia może w większym stopniu prowadzić do negatywnych skutków dla osób, których dane dotyczą, a tym samym wymaga większej ochrony.

W Wytycznych wskazano, że pandemia COVID-19, nie oznacza zawieszenia ani ograniczenia możliwości wykonywania przez osoby, których dane dotyczą przysługujących im praw. Jednak na mocy art. 89 ust. 3 RODO prawo UE lub państw członkowskich może ograniczyć wykonywanie tych praw, jeśli jest prawdopodobne, że prawa te uniemożliwiają lub poważnie utrudniają realizację konkretnych celów.

Przypomniano o podstawach transferu danych (czyli przekazywaniu danych poza EOG). Istotny z uwagi na podstawy transferu jest fakt, że zdaniem EROD „walka z COVID-19 została uznana przez Unię Europejską i większość jej państw członkowskich za ważny interes publiczny, który może wymagać pilnych działań w dziedzinie badań naukowych (na przykład w celu identyfikacji metod leczenia i/lub opracowania szczepionki), a także może obejmować przekazywanie danych do państw trzecich lub organizacji międzynarodowych.”.

Podsumowując opisywane wytyczne EROD są przypomnieniem o zasadach przetwarzania danych i istniejących wyjątkach od tych zasad. Nie wprowadzają żadnych nowych rozwiązań, ani nie są też podpowiedzią jak przetwarzać dane dotyczące stanu zdrowia do celów naukowych.

Jak sama EROD zaznaczyła „stworzenie dalej idących i bardziej szczegółowych wytycznych w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych stanowi część rocznego planu prac EROD”, więc z niecierpliwością czekamy na realizacje planu.

Tekst Wytycznych dostępny jest pod linkiem https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_pl.

Na stronie UODO znajduje się polskie tłumaczenie https://uodo.gov.pl/pl/138/1504

Autor

Agnieszka Świerczyńska

Posiada doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów. Bierze udział w procesie analizy ryzyka pod kątem naruszenia praw i wolności osób fizycznych oraz wdrażaniu RODO ze szczególnym uwzględnieniem podmiotów prowadzących działalność leczniczą.