O RODO, czyli ogólnym rozporządzeniu o ochronie danych osobowych, słyszał chyba każdy. Powszechnie też wiadomo, że miało ono wpływ na szereg branży, w szczególności bankowość czy HR. RODO dotyczy jednak wszystkich osób, które dane przetwarzają. Przy czym warto w tym miejscu wyjaśnić sobie, że przetwarzanie to jakakolwiek czynność dokonywana na danych osobowych – nie tylko zbieranie, ale również przechowywanie czy niszczenie.
Czy RODO dotyczy naukowca?
Skoro RODO dotyczy nas wszystkich, pojawia się pytanie, czy naukowiec prowadzący badania, również zobligowany jest do przestrzegania przepisów tego unijnego rozporządzenia?
Jedno z wyłączeń RODO stanowi, iż nie ma ono zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
Tak sformułowany przepis jednoznacznie wskazuje, że każdy naukowiec prowadząc swoje prace badawcze zawodowo musi stosować się do przepisów dotyczących ochrony danych osobowych. Takie przetwarzanie bowiem nie ma charakteru ani osobistego, ani domowego.
Naukowiec (nie)zatrudniony
W przypadku osób zatrudnionych np. na uczelniach wyższych czy w instytutach badawczych, problemów związanych z RODO będzie znacznie mniej. Mianowicie to dana instytucja będzie administratorem danych, który ma obowiązek zapewnić działanie naukowców zgodne z przepisami prawa oraz odpowiedniego zabezpieczenia danych. Pracownik naukowy zaś powinien po prostu otrzymać upoważnienie do przetwarzania danych w koniecznym dla niego zakresie oraz zostać przeszkolony z bezpieczeństwa danych. Jeżeli naukowiec nie zostanie przeszkolony, dla własnego bezpieczeństwa warto chociażby zapoznać się z podstawowymi dokumentami dotyczącymi przetwarzania danych osobowych w danej jednostce organizacyjnej (zazwyczaj jest to polityka bezpieczeństwa oraz instrukcja przetwarzania danych osobowych w systemie informatycznym).
W przypadku osób, które przykładowo piszą doktorat z wolnej stopy, prowadzą badania naukowe samodzielnie, czy też współpracują z uczelniami w sposób mniej formalny, obowiązki wynikające z RODO są dużo szersze, o czym poniżej.
RODOwskie obowiązki naukowca
Skupmy się na przypadku, kiedy to naukowiec będzie administratorem danych osobowych. W pierwszej kolejności należy odpowiednio zabezpieczyć zarówno pomieszczenia jak i urządzenia na których przetwarzane są dane osobowe. Pamiętać trzeba o zamykaniu drzwi na klucz, wyłączaniu komputera, zabezpieczenia go hasłem, czy też stosowaniu antywirusów i firewallów – wszystko po to, aby przetwarzane dane osobowe były bezpieczne, zaś naukowiec przetwarzający dane osobowe był w stanie udowodnić, że zachował należytą staranność przy ich przetwarzaniu.
Pamiętać trzeba również o podstawie prawnej przetwarzania danych osobowych. W przypadku osoby prowadzącej badania naukowe podstawą taką co do zasady będzie albo zgoda podmiotu danych albo prawnie uzasadniony interes naukowca jako administratora danych.
Obydwie przesłanki mogą okazać się dość kłopotliwe przy przetwarzaniu danych osobowych w celach badawczych – w przypadku cofnięcia zgody dane osobowe nie mogą być dalej przetwarzane. W przypadku zaś przetwarzania danych w ramach uzasadnionego interesu, podmiot danych może złożyć sprzeciw – wówczas również co do zasady należy zaprzestać przetwarzania takich danych osobowych.
Dane wrażliwe
RODO wskazuje, że istnieje specjalny katalog danych osobowych – dane szczególnych kategorii. Są to dane dotyczące m.in. stanu zdrowia, orientacji seksualnej, danych genetycznych czy biometrycznych.
Przetwarzanie takich danych (zwanych też danymi wrażliwymi) związane jest z koniecznością ich lepszego zabezpieczenia, jak również może odbywać się tylko w ściśle określonych sytuacjach. Przykładowo, ich przetwarzanie może następować tylko po spełnieniu którejś z enumeratywnie wyliczonych przesłanek, m.in. na podstawie zgody podmiotu danych, która musi być wyraźna i jednoznaczna. Inne przesłanki są dużo ściślej określone, przykładowo możliwe jest przetwarzanie danych wrażliwych, gdy jest ono niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.
Nie zawsze jednak uzyskanie zgody podmiotu danych jest możliwe. Na szczęście w RODO przewidziano konieczność prowadzenia prac naukowych i badawczych. Mianowicie w przepisach rozporządzenia wskazano, że przetwarzanie danych szczególnych kategorii jest możliwe, gdy jest niezbędne do celów archiwalnych w interesie publicznym, do celów badan naukowych lub historycznych. Co za tym idzie przetwarzanie nawet danych szczególnych kategorii w wypadku badań naukowych jest dozwolone – po spełnieniu odpowiednich warunków związanych z bezpieczeństwem danych i o ile przetwarzanie to nie narusza istoty prawa do ochrony danych.
Minimalizacja i anonimizacja
Niezależnie od podstawy prawnej przetwarzania danych osobowych pamiętać należy o zasadzie minimalizacji danych. Zgodnie z tą zasadą, dane osobowe przetwarzać można jedynie w takim zakresie w jakim jest to konieczne do osiągnięcia danego celu. Oznacza to, że w przypadku prowadzenia prac naukowych, nie jest możliwym przetwarzania tych kategorii danych, które nie są konieczne do ich prowadzenia. Jeżeli przykładowo prowadzimy badania dot. nietolerancji żywieniowych mieszkańców dużych miast, nie możemy zbierać danych osobowych w postaci numeru PESEL. Innymi słowy, trzeba kierować się zasadą „im mniej, tym lepiej”.
Równie ważna jest kwestia anonimizacji danych. W przypadku naukowców powinno to być dość popularne rozwiązanie. Chodzi o to, że wykorzystujemy tylko „suche” dane, nie pozwalające na identyfikację danej osoby (czyli bez imienia, nazwiska czy adresu e-mail). Takie działanie pozwala na złagodzenie reżimu zabezpieczania danych i ich przetwarzania. Jest ono również przez RODO rekomendowane – w pełni zabezpiecza ono bowiem podmiot danych, nawet w przypadku, gdy dane zostały bezprawnie ujawnione lub w inny sposób wykorzystane.
Wspomniane powyżej zagadnienia – minimalizacji oraz anonimizacji danych są szczególnie istotne w przypadku przetwarzania na podstawie przesłanki z wcześniej cytowanego art. 9 ust. 2 lit. j RODO. Dalsze przepisy rozporządzenia wskazują bowiem, że w przypadku przetwarzania danych w celach naukowych lub badawczych należy ściśle stosować się do zasady minimalizacji, jak również stosować anonimizację danych w każdym możliwym przypadku.
Obowiązek informacyjny
Pamiętać należy również, że zgodnie z RODO, w przypadku przetwarzania danych osobowych, administrator danych musi wykonać obowiązek informacyjny. Oznacz to, że musi on poinformować podmiot danych o podstawowych kwestiach związanych z przetwarzaniem. Obowiązek ten obejmuje takie informacje jak: dane administratora, kontakt do administratora, jakie prawa przysługują podmiotowi danych, kto jest odbiorcą tych danych etc. Co za tym idzie, niezależnie od podstawy prawnej, obowiązkowym jest przedstawienie informacji określonych w art. 13 (w przypadku uzyskiwania danych bezpośrednio od danej osoby), czy też art. 14 (w przypadku, gdy dane są uzyskiwane od podmiotów trzecich) RODO.
Inne akty prawne
Obecnie przepisy dotyczące ochrony danych osobowych to nie tylko RODO. Odpowiednie normy prawne znalazły się już w dziesiątkach ustaw, również tych istotnych dla osób pracujących naukowo.
I tak w ustawie o systemie informacji w ochronie zdrowia wskazano, że dane znajdujące się w rejestrach medycznych mogą być udostępniane w celu prowadzenia badań naukowych, jednakże tylko w formie, która uniemożliwia identyfikację konkretnej osoby.
Z kolei w ustawie prawo o szkolnictwie wyższym i nauce wprost wskazano, że w zakresie niezbędnym do prowadzenia badań naukowych i prac rozwojowych możliwym jest przetwarzanie danych szczególnych kategorii. Dane te, jednakże muszą być zanonimizowane od razu po osiągnięciu celu badań naukowych, wcześniej zaś dane, które można wykorzystać do identyfikacji danej osoby fizycznej, zapisuje się osobno. Można je łączyć z informacjami szczegółowymi dotyczącymi danej osoby fizycznej wyłącznie, jeżeli wymaga tego cel badań naukowych lub prac rozwojowych.
Jak zatem widać przetwarzanie danych osobowych w trakcie badań naukowych podlega szeregowi regulacji. Wydaje się jednak, że przy stosowaniu racjonalnych metod zabezpieczenia danych oraz przestrzeganiu zasad przetwarzania danych, z jednej strony dane osobowe pozostaną bezpieczne, z drugiej praca naukowa nie zostanie nadmiernie utrudniona.
Masz pytania? Napisz do mnie: aleksandra.maciejewicz@lawmore.pl